Hvilke tjenester er aktive, er de alle nødvendige?
For å se tjenestene vi har aktive kan du bruke netstat -kommandoen. For eksempel fra en SSH -tilkobling:
root @ server1: ~ # netstat -aDet viser oss alle de aktive tjenestene og lytter til å motta brukere eller tilkoblinger, her ser vi noen lignende Apache (http) for å vise websider, smtp e -post sendingstjeneste, ftp å laste opp filer.
Du kan stoppe en tjeneste hvis den er unødvendig eller hvis den tar mye minne eller cpu, for dette kan vi se forbruket med kommandoen:
root @ server1: ~ # ps aux --sort cputime
Her kan vi se Mysql, antivirusprogrammet Clamav, Y Dovecot er en åpen kildekode IMAP og POP3 server. Her kan vi se prosessen utført av oss tidligere. Det er viktig å ikke forveksle START -kolonnen som har datoer og klokkeslett, den indikerer på hvilken dato eller klokkeslett operasjonen begynte.
Så for å stoppe en Mysql -eksempeltjeneste:
/etc/init.d/mysql restart /etc/init.d/mysql stop /etc/init.d/mysql startEksempel på kommandobruk i Linux -serversikkerhet, vi kommer til å bruke noen kommandoer for å oppdage og forhindre angrep av tjenester som er det hyppigste.
EN tjenestenektangrep (DoS -angrep) eller Distribuert denial of service -angrep (DDoS -angrep) det er et forsøk på å gjøre en serverressurs utilgjengelig for brukerne.
1) Oppdag angrepet
Hovedsymptomet er at serveren blir veldig treg, eller "tjenester er nede", de slutter å fungere på grunn av at det oppstår for mange tilkoblinger, serveren kan ikke svare.
Vi vil bruke kommandoen "netstat".
Den viser oss de aktive tilkoblingene på port 80.
root @ server1: ~ # netstat -an | grep: 80 | sortere
Her kan vi se at en av de aktive ipene som spør serveren vår har 5000 tilkoblinger, mens det kan sies at normalen ville være omtrent 20 eller 30 tilkoblinger per ip. Vi kan da mistenke et DDOS -angrep siden forbruket av ressurser
2) Det første vil være å blokkere angriperens ip med Iptables
Iptables er navnet på brukerplassverktøyet som administratoren kan definere filtreringspolicyer for trafikken som sirkulerer på nettverket på.
root @ server1: ~ # iptables -I INPUT -s 74,6,73,22 -j DROPMed det krasjer det.
3) Installer mod_evasive for Apache
Mod Evasive er en modul for Apache som er ansvarlig for å gi et ytterligere sikkerhetsnivå til vår svært kraftige og tilpassbare webserver.
I eksemplet vil vi gjøre det for Centos, men det kan tilpasses alle Linux med Apache.
Vi installerer avhengigheter fra ssh
root @ server1: ~ # cd/usr/src root @ server1: ~ # wget http://www.zdziarski.com/projects/mod_evasive/mod_evasive_1.10.1.tar.gz root @ server1: ~ # tar zxvf mod_evasive_1.10.1 .tar.gz root @ server1: ~ # cd mod_evasive root @ server1: ~ # apxs -cia mod_evasive20.c # for Apache 1.3 vil kommandoen være apxs -cia mod_evasive.c root @ server1: ~ # vi / etc / httpd / conf /httpd.conf # vi redigerer rotkonfigurasjonen @ server1: ~ # service httpd restart # vi starter Apache på nyttI / etc / httpd / conf /httpd.conf Følgende linjer skal legges til.
DOSHashTableSize 3097 DOSPageCount 2 DOSSiteCount 50 DOSPageInterval 1 DOSSiteInterval 1 DOSBlockingPeriod 300Viktige parametere
- DOSPageCount: antall tilkoblinger som en bruker kan opprette per sekund før IP -en hans blir blokkert.
- DOSSiteCount: hvor mange forespørsler en bruker kan stille før den blir blokkert.
- DOSBlockingPeriod: hvor lenge i sekunder vil blokkeringen av den IP -en vare.
