Linux系统安全防护一

一、系统安全防护常用技能:

1.1 检查并锁定可疑用户
#w ##查看当前登录的用户
#passwd -l nobody ##锁定用户
]# ps -ef | grep @pts/0 #查找用户进程pid
#kill -0 6054 ##提出可疑用户
#last 查看用户登录事件
]# vim /var/log/secure ##查看安全日志

1.2 检查并关闭系统可疑进程
pidof 查找正在运行的进程PID
]# pidof sshd
1894 959
进入内存目录,查看对应的PID目录下的exe文件信息:
]# ls -al /proc/1894/exe ##即找到进程对应的完整路径
lrwxrwxrwx 1 root root 0 6月 19 08:57 /proc/1894/exe -> /usr/sbin/sshd

1.3 通过端口或tcp或udp协议查找进程PID,从而找到进程
]# fuser --help
]# fuser -n tcp 25
25/tcp: 1173
]# ps -ef | grep 1173
root 1173 1 0 08:13 ? 00:00:00 /usr/libexec/postfix/master -w

1.4 检查文件系统的完好性
]# rpm -Va
输出中每个标记含义:
S :表示文件长度发生变化
M :表示文件的访问权限或文件类型发送变化 ##出现该标记很可能发生篡改。
5 :表示MD5校验和发生变化
D :表示设备节点的属性发生变化
L :表示文件的符号链接发生变化
U :表示文件/子目录/设备节点的owner发生变化
G :表示文件/子目录/设备节点的group发生了变化
T:表示文件最后一次的修改时间发生了变化

1.5 网络实时流量监测工具iftop
iftop是类似于top的实时流量监控工具。
#yum install flex byacc libpcap ncurses ncurses-devel libpcap-devel ##需要的依赖包
#wget http://www.ex-parrot.com/pdw/iftop/download/iftop-0.17.tar.gz
iftop相关参数
-i:设定监测的网卡,如:# iftop -i eth1
-B: 以bytes为单位显示流量(默认是bits),如:# iftop -B
-n:使host信息默认直接都显示IP,如:# iftop -n
-N:使端口信息默认直接都显示端口号,如: # iftop -N
-F:显示特定网段的进出流量,如# iftop -F 10.10.1.0/24或# iftop -F 10.10.1.0/255.255.255.0
-h:(display this message),帮助,显示参数信息,按 h 会进入交互模式。
-p:使用这个参数后,中间的列表显示的本地主机信息,出现了本机以外的IP信息;
-b:使流量图形条默认就显示;
-f:这个暂时还不太会用,过滤计算包用的;
-P:使host信息及端口信息默认就都显示;
-m:设置界面最上边的刻度的最大值,刻度分五个大段显示,例:# iftop -m 100M

1.6 网络监控管理系统
Ntop 它是一种网络嗅探器,是一个功能强大的流量监控、端口监控、服务器监控管理系统。适合监控庞大的服务器网络。

1.7 网络探测和安全审核工具nmap

你可能感兴趣的:(笔记)