linux 优化&安全运维&黑客攻防

优化：

　　可删除用户：adm,lp,sync,shutdown,halt,news,uucp,operator,games,gopher.   :userdel games

可删除组:adm,lp,news,uucp,games,dip,pppusers,popusers,slipusers.             :groupdel games

不需要用户登录的用户，比如www供apache使用的用户可以关闭其登录功能               :usermod -s /sbin/nologin www

　　删除多余的登录欢迎信息：/etc/issue,/etc/issue.net,/etc/redhat-release,/etc/motd. #如果需要用户登录完之后显示/etc/issue.net信息的话在 /etc/ssh/sshd_config 加入

Banner /etc/issue.net

　　其他包含系统信息的文件:/etc/redhat-release,       #/etc/motd  该文件会显示在用户终端，可以写一些通知例如：欢迎登录。

关闭快捷键重启：vim /etc/init/control-alt-delete.conf    #exec /sbin/shutdown -r now "Control-Alt-Delete pressed"

关闭多余的服务：

一般情况下不需要的服务:

anacron,auditd,autofs,avahi-daemon,avahi-dnsconfd,bluetooth,cpuspeed,firsboot,gpm,haldaemon,hidd,

ip6tables,ipsec,isdn,lpd,mcstrans,messagebus,netfs,nfs,nfslock,nscd,pcscd portmap,readahead_early,restorecond,

rpcgssd,rpcidmapd,rstatd,sendmail,setroubleshoot,yppasswdd ypsery.               :chkconfig --level 345 anacron off

系统必须运行的服务：

服务名称	服务内容
acpid	电源管理
apmd	高级电源管理，可监控电池性能
kudzu	检测硬件变化
crond	为linux下自动安排的进程提供运行服务
atd	计划任务功能相识
keytables	装载镜像键盘
iptables	内置的防火墙
xinetd	支持多种网络服务的核心守护进程
xfs	x windows 必须的服务
network	启动网络服务
sshd	远程安全登录
syslog	记录系统日志服务

关闭口令登录,使用key登录   :vim /etc/ssh/sshd_config         #PasswordAuthentication no

重启sshd                          : /etc/rc.d/init.d/sshd restart

系统安全

用户权限：vim /etc/sudoers

让普通用户可以执行提权的命令:username ALL=(ALL)NOPASSWD:ALL       #该用户可以提权sudo su -

让普通用户只可以执行某条特权命令:user01 ALL=/bin/more /etc/shadow  , user01 ALL=NOPASSWD: /etc/init.d/httpd restart

简单防火墙配置 : /etc/hosts.allow   /etc/host.deny    #先匹配hosts.allow如有匹配则结束，没有则继续匹配。常用服务(sshd,vsftpd,sendmail)

例子：vim /etc/hosts.allow      #sshd: 1.1.1.1        vim /etc/host.deny  #sshd:ALL  #拒绝除1.1.1.1外的sshd服务连接。

文件系统安全

　　　　　:chattr -R +i  #锁定该文件的权限   lsattr [-adlRvV]  查询文件属性。

文件权限检查和修改：

　　　　　　linux：SUID、SGID详解

　　　　　　找出全部用户有写权限的文件和目录：find / -type f -perm -2 -o -perm -20 | xargs ls -al   :find / -type f -perm -2 -o -perm -20 | xargs ls -ld

找出含有‘s’位的程序:find / -type f -perm -4000 -o -pperm -2000 -print | xargs ls -al    #有S位可提权，尽可能降低。

　　　　　　找出所有含sudi和sgid的文件：find / -user root -perm -2000 -print -exec md5sum {} \; find / -user root -perm -4000 -print -exec md5sum {} \;

　　　　　　　　　　#可把该结果保存在一个文件里面，日后可用来对比权限查看服务器文件有没有被篡改

　　　　　　find / -nouser -o -nogroup   #找出可以属主的文件，避免黑客利用。

　　　　　　tmp临时目录的权限控制:创建一个新的目录给予权限控制之后挂载到tmp下。　　　　　　　

1 dd -f=/dev/zero of =/dev/tmpfs bs=1M count=1000
2 mke2fs -j /dev/tmpfs
3 cp -av /tmp /tmp.old
4 mount -o loop,noexec,nosuid,rw /dev/tmpfs /tmp
5 chmod 1777 /tmp
6 mv -f /tmp.old/* /tmp/
7 rm -rf /tmp.old

　　　　　vim /etc/fstab

　　/dev/tmpfs /tmp ext3 loop,nosuid,noexec,rw 0 0 #如果tmp目录直接是挂载目录的话直接添加：loop,nosuid,noexec。  在/tmp 下写一个shell脚本，运行测试。

　　　　 /dev/shm  #共享内存设备,挂载属性修改    :tmpfs /dev/shm tmpfs defaults,nosuid,noexec,rw 0 0.

　

Hacker攻防

　　　　　　chkrootkit后门rootkit检测工具,www.chkrootkit.org   #用法 /usr/local/chkrootkit/chkrootkit

　　　　　　备份好chkrootkit入侵检测需要用到的系统命令：

mkdir /usr/share/.commands
cp `which --skip-alias awk cut echo find egrep id head ls netstat ps strings sed uname` /usr/share/.commands
/usr /local/chkrootkit/chkrootkit -p /usr/share/.commands/

　　　　　　

　　　　　　RKHunter : /usr/local/bin/rkhunter -c  #rootkit入侵检测工具2     #09 3 * * * /usr/local/bin/rkhunter --check --cronjob #每天运行

服务器被攻击后的处理思路

　　　　　　1.切断网络。  利用ROOT登陆输入：w     #查看登陆过的用户。passwd -l username #锁定用户   :  ps -aux | grep pts/1  && kill -9 id  #踢掉非法用户

　　　　　　2.last  查看登陆日志.

　　　　　　3.其他系统日志   /var/log/messages  #运行状态     /var/log/secure     #登陆状态   .bash_history #历史命令

　　　　　　4.pidof httpd    #找出该进程的所有进程ID  # ls -al /proc/ID/exe   #查看该进程的EXE文件信息   # ls -al /proc/ID/fd  #该进程的完整执行信息。Linux下/proc目录简介

　　　　　　检查文件系统的完整性：rpm -Va   #输出的结果中如果有M标记，那么该文件有可能已经给修改。

　　　　　　

　　　被入侵过后的实战分析

　　　　　　服务器流量跑满，ps,netstat --antp,top 查看无80端口的任何连接。 md5sum /bin/ps 查看几个命令的MD5是否一致。

　　　　　　more /var/log/secure |grep Accepted # 查看当天登陆成功的用户   #利用替换后的ps -antp  查找可疑进程。    #/mnt/bin/ls -al /proc/22785/exe   #查找路劲

　　　　　　分析服务器上跑的业务，查看apache 日志 根据对应的黑客IP 找到WEB访问记录，得知黑客通过apache插件漏洞在服务器上创建文件。

　　　　　　找出问题，将重要数据备份,重新安装系统，修补漏洞。