Linux服务器安全策略

Linux服务器安全策略

一、Linux后门入侵检测工具

rootkit主要有两种类型:文件级别和内核级别

文件级别:文件被修改,如常用命令,带宽攻击

内核级别:像镜像中植入


rootkit后门检测工具RKHunter:

https://rootkit.nl/projects/rootkit_hunter.html

https://sourceforge.net/projects/rkhunter/files/rkhunter/1.4.2/


阿里云:云盾,取向商业化

云锁

WAF+iptables

WAF:

Web应用防护系统(也称:网站应用级入侵防御系统。英文:Web Application Firewall,简称: WAF)。利用国际上公认的一种说法:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。


二、处理服务器遭受攻击的一般思路

1、一般思路

1)切断网络

2)查找攻击源

查看系统日志和登录日志/var/log/message和/var/log/secure和dmesg命令

3)分析入侵原因和途径

ps -ef  查看到带[]的是系统进程

伪装进程:如.vcjcjcjc .vgvgchchec .ssshd .a .b .1

查看crontab内容,是否有异常定时任务,/etc/crontab

系统漏洞、程序漏洞

4)备份用户数据

5)重新安装系统

6)修复程序或系统漏洞

7)恢复数据和连接网络

2、检测并锁定可疑用户

w命令

3、查看系统日志

/var/log/message和/var/log/secure和dmesg命令,家目录下.bash_history

4、检查并关闭系统可疑进程

kill掉进程,然后删除文件

1)ps -ef 查看pid

2)根据pid查文件:ll /proc/25199/exe或ll /proc/25199/fd

pidof命令:

pidof sshd

5、检查文件系统的完整性

6、重新安装系统恢复数据



堡垒机:类似防火墙,门卫,访问内网服务器需先进过堡垒机。

麒麟堡垒机:iso镜像





你可能感兴趣的:(message,服务器安全)