audit审计监控文件加固常见的服务
审计工具有很多,每个公司都有,有些是自己开发,有些是用开源软件
audit 一但开了是关不了的,是随系统启动的
系统自带软件 最小化安装也会被安装, 除非是kist %????
什么是auditd?
auditd(或 auditd 守护进程)是Linux审计系统中用户空间的一个组件,其负责将审计记录写入磁盘。
[root@porxy ~]# rpm -q audit
audit-2.7.6-3.el7.x86_64
[root@porxy ~]# systemctl stop auditd
Failed to stop auditd.service: Operation refused, unit auditd.service may be requested by dependency only (it is configured to refuse manual start/stop).
See system logs and 'systemctl status auditd.service' for details.
审计的目的是基于事先配置的规则生成日志,记录可能发生在系统上的事件(正常或非正常行为的事件),审计不会为系统提供额外的安全保护,但她会发现并记录违反安全策略的人及其对应的行为。
1.使用audit监控/etc/ssh/sshd_config
2.当该文件发生任何变化即记录日志
3.通过手动和ausearch工具查看日志内容
审计能够记录的日志内容:
a) 日期与事件以及事件的结果
b) 触发事件的用户
c) 所有认证机制的使用都可以被记录,如ssh等
d) 对关键数据文件的修改行为等都可以被记录————自己定义
选项 :
- -w path : 指定要监控的路径,上面的命令指定了监控的文件路径 /etc/passwd
- -p : 指定触发审计的文件/目录的访问权限
- rwxa : 指定的触发条件,r 读取权限,w 写入权限,x 执行权限,a 属性(attr)
[root@porxy ~]# vim /etc/audit/auditd.conf
log_file = /var/log/audit/audit.log
2)配置审计规则
[root@porxy ~]# auditctl -s
enabled 1
failure 1
pid 644
rate_limit 0
backlog_limit 8192
lost 0
backlog 0
loginuid_immutable 0 unlocked
[root@porxy ~]# auditctl -l
No rules
[root@porxy ~]# auditctl -D
No rules
定义临时文件系统规则:
- #语法格式:auditctl -w path -p permission -k key_name
- # path为需要审计的文件或目录
- # 权限可以是r,w,x,a(文件或目录的属性发生变化)
- # Key_name为可选项,方便识别哪些规则生成特定的日志项
- [root@proxy ~]# auditctl -w /etc/passwd -p wa -k passwd_change
- //设置规则所有对passwd文件的写、属性修改操作都会被记录审计日志
- [root@proxy ~]# auditctl -w /etc/selinux/ -p wa -k selinux_change
- //设置规则,监控/etc/selinux目录
- [root@proxy ~]# auditctl -w /usr/sbin/fdisk -p x -k disk_partition
- //设置规则,监控fdisk程序
- [root@proxy ~]# auditclt -w /etc/ssh/sshd_conf -p warx -k sshd_config
- //设置规则,监控sshd_conf文件
- 文件的监控
临时监控和永久监控
[root@porxy ~]# auditctl -w /etc/ssh/ssh_config -p rwxa -k ssh_config [root@porxy ~]# auditctl -l -w /etc/ssh/ssh_config -p rwxa -k ssh_config [root@porxy ~]# auditctl -w /etc/passwd -p wa -k passwd_chang
[root@porxy ~]# auditctl -l
-w /etc/ssh/ssh_config -p rwxa -k ssh_config
-w /etc/passwd -p wa -k passwd_chang
[root@porxy ~]# vim /etc/audit/rules.d/audit.rules
[root@porxy ~]# tailf /var/log/audit/audit.log
[root@porxy ~]# cat /etc/ssh/sshd_config
看日志的内容,以及日志内容分析
vim /var/log/audit/audit.log
[root@porxy ~]# ausearch -k ssh_config -i
----
type=CONFIG_CHANGE msg=audit(2018年07月03日 10:12:41.281:161) : auid=root ses=1 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 op=add_rule key=ssh_config list=exit res=yes
日志查询
设置了监控后,会在/var/log/audit/audit.log里出现日志。
可以用此命令查看日志:
ausearch -f /etc/passwd -x rm
-k 利用auditctl指定的key查询
-x 执行程序
# ausearch -ts today -k password-file
# ausearch -ts 3/12/07 -k password-file
-ts 指定时间后的log (start time)
-te 指定时间前的log (end time)
下面开始解读输出结果。
- time : 审计时间。
- name : 审计对象
- cwd : 当前路径
- syscall : 相关的系统调用
- auid : 审计用户ID
- uid 和 gid : 访问文件的用户ID和用户组ID
- comm : 用户访问文件的命令
- exe : 上面命令的可执行文件路径
nginx的版本和已经安装的模块 是v和V的区别
一。nginx的关闭版本号屏蔽
Nignx是模块化设计的软件,需要什么功能与模块以及不需要哪些模块,都可以在编译安装软件时自定义,使用--with参数可以开启某些模块,使用--without可以禁用某些模块。最小化安装永远都是对的方案!
1.) 修改版本信息,并隐藏具体的版本号
默认Nginx会显示版本信息以及具体的版本号,这些信息给攻击者带来了便利性,便于他们找到具体版本的漏洞。
如果需要屏蔽版本号信息,执行如下操作,可以隐藏版本号。
1.修改配置文件
2.命令测试
3) 限制并发量
DDOS攻击者会发送大量的并发连接,占用服务器资源(包括连接数、带宽等),这样会导致正常用户处于等待或无法访问服务器的状态。
Nginx提供了一个ngx_http_limit_req_module模块,可以有效降低DDOS攻击的风险,操作方法如下:
- [root@proxy ~]# vim /usr/local/nginx/conf/nginx.conf
- … …
- http{
- … …
- limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;
- server {
- listen 80;
- server_name localhost;
- limit_req zone=one burst=5;
- }
- }
- //备注说明:
- //limit_req_zone语法格式如下:
- //limit_req_zone key zone=name:size rate=rate;
- //上面案例中是将客户端IP信息存储名称为one的共享内存,内存空间为10M
- //1M可以存储8千个IP信息,10M可以存储8万个主机连接的状态,容量可以根据需要任意调整
- //每秒中仅接受1个请求,多余的放入漏斗
- //漏斗超过5个则报错
- [root@proxy ~]# /usr/local/nginx/sbin/nginx -s reload
客户端使用ab测试软件测试效果:
- [root@client ~]# ab -c 100 -n 100 http://192.168.4.5/ ————小细节 后面没有 /会出现报错
) 拒绝非法的请求
网站使用的是HTTP协议,该协议中定义了很多方法,可以让用户连接服务器,获得需要的资源。但实际应用中一般仅需要get和post。
具体HTTP请求方法的含义如表-1所示。
nginx的常见的安全配置还有那些
1.限制ip访问 2.控制超时时间 3.限制下载并发速度 4.卸载不需要模块 5.防盗链设计 6. 自定义信息 7.隐藏nginx的服务信息头 7.补丁更新
4) 拒绝非法的请求
网站使用的是HTTP协议,该协议中定义了很多方法,可以让用户连接服务器,获得需要的资源。但实际应用中一般仅需要get和post。
具体HTTP请求方法的含义如表-1所示。
未修改服务器配置前,客户端使用不同请求方法测试:
- [root@client ~]# curl -i -X GET http://192.168.4.5 //正常
- [root@client ~]# curl -i -X HEAD http://192.168.4.5 //正常
- //curl命令选项说明:
- //-i选项:访问服务器页面时,显示HTTP的头部信息
- //-X选项:指定请求服务器的方法
通过如下设置可以让Nginx拒绝非法的请求方法:
- [root@proxy ~]# vim /usr/local/nginx/conf/nginx.conf
- http{
- server {
- listen 80;
- #这里,!符号表示对正则取反,~符号是正则匹配符号
- #如果用户使用非GET或POST方法访问网站,则retrun返回444的错误信息
- if ($request_method !~ ^(GET|POST)$ ) {
- return 444;
- }
- }
- }
- [root@proxy ~]# /usr/local/nginx/sbin/nginx -s reload
修改服务器配置后,客户端使用不同请求方法测试:
- [root@client ~]# curl -i -X GET http://192.168.4.5 //正常
- [root@client ~]# curl -i -X HEAD http://192.168.4.5 //报错
4) 防止buffer溢出
当客户端连接服务器时,服务器会启用各种缓存,用来存放连接的状态信息。
如果攻击者发送大量的连接请求,而服务器不对缓存做限制的话,内存数据就有可能溢出(空间不足)。
修改Nginx配置文件,调整各种buffer参数,可以有效降低溢出风险。
- [root@proxy ~]# vim /usr/local/nginx/conf/nginx.conf
- http{
- client_body_buffer_size 1K;
- client_header_buffer_size 1k;
- client_max_body_size 1k;
- large_client_header_buffers 2 1k;
- … …
- }
- [root@proxy ~]# /usr/local/nginx/sbin/nginx -s reload
步骤二:数据库安全
1) 初始化安全脚本
安装完MariaDB或MySQL后,默认root没有密码,并且提供了一个任何人都可以操作的test测试数据库。有一个名称为mysql_secure_installation的脚本,该脚本可以帮助我们为root设置密码,并禁止root从远程其他主机登陆数据库,并删除测试性数据库test。
- [root@proxy ~]# systemctl status mariadb
- //确保服务已启动
- [root@proxy ~]# mysql_secure_installation
- //执行初始化安全脚本
2)密码安全
手动修改MariaDB或MySQL数据库密码的方法:
- [root@proxy ~]# mysqladmin -uroot -predhat password 'mysql'
- //修改密码,旧密码为redhat,新密码为mysql
- [root@proxy ~]# mysql -uroot -pmysql
- MariaDB [(none)]>set password for root@'localhost'=password('redhat')
- //使用账户登录数据库,修改密码
- MariaDB [(none)]> select user,host,password from mysql.user;
- +--------+---------+---------------------------------------------+
- | user | host | password |
- +--------+---------+---------------------------------------------+
- | root | localhost | *84BB5DF4823DA319BBF86C99624479A198E6EEE9 |
- | root | 127.0.0.1 | *84BB5DF4823DA319BBF86C99624479A198E6EEE9 |
- | root | ::1 | *84BB5DF4823DA319BBF86C99624479A198E6EEE9 |
- +--------+-----------+--------------------------------------------+
2.修改密码成功,而且密码在数据库中是加密的,有什么问题吗?问题是你的密码被明文记录了,下面来看看名为密码:
- [root@proxy ~]# cat .bash_history
- mysqladmin -uroot -pxxx password 'redhat'
- //通过命令行修改的密码,bash会自动记录历史,历史记录中记录了明文密码
- [root@proxy ~]# cat .mysql_history
- set password for root@'localhost'=password('redhat');————密码要用‘’起来,不打分号可以下一行
- select user,host,password from mysql.user;—-这是存放帐号和密码,主机的表
- flush privileges;
- //通过mysql命令修改的密码,mysql也会有所有操作指令的记录,这里也记录了明文密码
以上是工作当中给mysql改密码的常用方法,但是都不安全。在命令行输入都有历史记录
在数据库里打的命令也不安全 ls -A 就可以看到 .mysql_history 一定要清历史记录 history -c
另外数据库还有一个binlog日志里也有明文密码(5.6版本后修复了)。
怎么解决?
管理好自己的历史,不使用明文登录,选择合适的版本5.6以后的版本,
日志,行为审计(找到行为人),使用防火墙从TCP层设置ACL(禁止外网接触数据库)。
3)数据备份与还原
首先,备份数据库(注意用户名为root,密码为redhat):
- [root@proxy ~]# mysqldump -uroot -predhat mydb table > table.sql
- //备份数据库中的某个数据表
- [root@proxy ~]# mysqldump -uroot -predhat mydb > mydb.sql
- //备份某个数据库
- [root@proxy ~]# mysqldump -uroot -predhat --all-databases > all.sql
- //备份所有数据库————用户和密码不要有空格,不然会出现报错
接下来,还原数据库(注意用户名为root,密码为redhat):
- [root@proxy ~]# mysql -uroot -predhat mydb < table.sql //还原数据表
- [root@proxy ~]# mysql -uroot -predhat mydb < mydb.sql //还原数据库
- [root@proxy ~]# mysql -uroot -predhat < all.sql //还原所有数据库
光盘的数据库版本是比较久,新的要到mysql官网下载
4)数据安全
在服务器上(192.168.4.5),创建一个数据库账户:
- [root@proxy ~]# mysql -uroot -predhat
- //使用管理员,登陆数据库
- MariaDB [(none)]> grant all on *.* to tom@'%' identified by '123';
- //创建一个新账户tom
使用tcpdump抓包(192.168.4.5)
- [root@proxy ~]# tcpdump -w log -i any src or dst port 3306
- //抓取源或目标端口是3306的数据包,保存到log文件中
客户端(192.168.4.100)从远程登陆数据库服务器(192.168.4.5)
- [root@client ~]# mysql -utom -p123 -h 192.168.4.5
- //在192.168.4.100这台主机使用mysql命令登陆远程数据库服务器(192.168.4.5)
- //用户名为tom,密码为123
- MariaDB [(none)]> select * from mysql.user;
- //登陆数据库后,任意执行一条查询语句
回到服务器查看抓取的数据包
- [root@proxy ~]# tcpdump -A -r log
- //使用tcpdump查看之前抓取的数据包,很多数据库的数据都明文显示出来
如何解决?
可以使用SSH远程连接服务器后,再从本地登陆数据库(避免在网络中传输数据,因为网络环境中不知道有没有抓包者)。
或者也可以使用SSL对MySQL服务器进行加密,类似与HTTP+SSL一样,MySQL也支持SSL加密(确保网络中传输的数据是被加密的)。
Tomcat安全性
1) 隐藏版本信息、修改tomcat主配置文件(隐藏版本信息)
未修改版本信息前,使用命令查看服务器的版本信息
注意:proxy有192.168.2.5的IP地址,这里使用proxy作为客户端访问192.168.2.100服务器。
- [root@proxy ~]# curl -I http://192.168.2.100:8080/xx
- //访问不存在的页面文件,查看头部信息
- [root@proxy ~]# curl -I http://192.168.2.100:8080
- //访问存在的页面文件,查看头部信息
- [root@proxy ~]# curl http://192.168.2.100:8080/xx
- //访问不存在的页面文件,查看错误信息
修改tomcat配置文件,修改版本信息(在192.168.2.100操作):
- [root@web1 tomcat]# yum -y install java-1.8.0-openjdk-devel
- [root@web1 tomcat]# cd /usr/local/tomcat/lib/
- [root@web1 lib]# jar -xf catalina.jar
- [root@web1 lib]# vim org/apache/catalina/util/ServerInfo.properties
- //根据自己的需要,修改版本信息的内容
- [root@web1 lib]# /usr/local/tomcat/bin/shutdown.sh //关闭服务
- [root@web1 lib]# /usr/local/tomcat/bin/startup.sh //启动服务
修改后,客户端再次查看版本信息(在192.168.2.5操作):
- [root@proxy ~]# curl -I http://192.168.2.100:8080/xx
- //访问不存在的页面文件,查看头部信息
- [root@proxy ~]# curl -I http://192.168.2.100:8080
- //访问存在的页面文件,查看头部信息
- [root@proxy ~]# curl http://192.168.2.100:8080/xx
- //访问不存在的页面文件,查看错误信息
再次修改tomcat服务器配置文件,修改版本信息,手动添加server参数(在192.168.2.100操作):
- [root@web1 lib]# vim /usr/local/tomcat/conf/server.xml
- <Connector port="8080" protocol="HTTP/1.1"
- connectionTimeout="20000" redirectPort="8443" server="jacob" />
- [root@web1 lib]# /usr/local/tomcat/bin/shutdown.sh //关闭服务
- [root@web1 lib]# /usr/local/tomcat/bin/startup.sh //启动服务
修改后,客户端再次查看版本信息(在192.168.2.5操作):
- [root@proxy ~]# curl -I http://192.168.2.100:8080/xx
- //访问不存在的页面文件,查看头部信息
- [root@proxy ~]# curl -I http://192.168.2.100:8080
- //访问存在的页面文件,查看头部信息
- [root@proxy ~]# curl http://192.168.2.100:8080/xx
- //访问不存在的页面文件,查看错误信息
2)降级启动
默认tomcat使用系统高级管理员账户root启动服务,启动服务尽量使用普通用户。
- [root@web1 ~]# useradd tomcat
- [root@web1 ~]# chown -R tomcat:tomcat /usr/local/tomcat/
- //修改tomcat目录的权限,让tomcat账户对该目录有操作权限
- [root@web1 ~]# su -c /usr/local/tomcat/bin/startup.sh tomcat
- //使用su命令切换为tomcat账户,以tomcat账户的身份启动tomcat服务
- [root@web1 ~]# chmod +x /etc/rc.local //该文件为开机启动文件
- [root@web1 ~]# vim /etc/rc.local //修改文件,添加如下内容
- su -c /usr/local/tomcat/bin/startup.sh tomcat
3)删除默认的测试页面
- [root@web1 ~]# rm -rf /usr/local/tomcat/webapps/*
[root@porxy ~]# ps aux | grep tomcat
root 17664 0.0 0.0 112676 984 pts/0 R+ 16:47 0:00 grep --color=auto tomcat