Linux服务器安全策略

Linux服务器安全策略

一、Linux后门入侵检测工具

rootkit主要有两种类型：文件级别和内核级别

文件级别：文件被修改，如常用命令，带宽攻击

内核级别：像镜像中植入

rootkit后门检测工具RKHunter：

https://rootkit.nl/projects/rootkit_hunter.html

https://sourceforge.net/projects/rkhunter/files/rkhunter/1.4.2/

阿里云：云盾，取向商业化

云锁

WAF+iptables

WAF:

Web应用防护系统（也称：网站应用级入侵防御系统。英文：Web Application Firewall，简称： WAF）。利用国际上公认的一种说法：Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。

二、处理服务器遭受攻击的一般思路

1、一般思路

1)切断网络

2)查找攻击源

查看系统日志和登录日志/var/log/message和/var/log/secure和dmesg命令

3)分析入侵原因和途径

ps -ef  查看到带[]的是系统进程

伪装进程：如.vcjcjcjc .vgvgchchec .ssshd .a .b .1

查看crontab内容，是否有异常定时任务，/etc/crontab

系统漏洞、程序漏洞

4)备份用户数据

5)重新安装系统

6)修复程序或系统漏洞

7)恢复数据和连接网络

2、检测并锁定可疑用户

w命令

3、查看系统日志

/var/log/message和/var/log/secure和dmesg命令,家目录下.bash_history

4、检查并关闭系统可疑进程

kill掉进程，然后删除文件

1)ps -ef 查看pid

2)根据pid查文件：ll /proc/25199/exe或ll /proc/25199/fd

pidof命令：

pidof sshd

5、检查文件系统的完整性

6、重新安装系统恢复数据

堡垒机：类似防火墙，门卫，访问内网服务器需先进过堡垒机。

麒麟堡垒机：iso镜像