Hvilke tjenester er aktive, er de alle nødvendige?
For at se de tjenester, vi har aktive, kan du bruge netstat kommando. For eksempel fra en SSH -forbindelse:
root @ server1: ~ # netstat -aDet viser os alle de aktive tjenester og lytter til at modtage brugere eller forbindelser, her ser vi nogle lignende Apache (http) for at vise websider, smtp e -mail afsendelse service, ftp for at uploade filer.
Du kan stoppe en service, hvis den er unødvendig, eller hvis den fylder meget hukommelse eller cpu, for dette kan vi se forbruget med kommandoen:
root @ server1: ~ # ps aux --sort cputime
Her kan vi se Mysql, antivirusprogrammet Clamav, Y Dovecot er en open source IMAP- og POP3 -server. Her kan vi se processen udført af os tidligere, det er vigtigt ikke at forvirre START -kolonnen, der har datoer og tidspunkter, det angiver på hvilken dato eller klokkeslæt operationen begyndte.
For derefter at stoppe en Mysql -eksempelservice:
/etc/init.d/mysql genstart /etc/init.d/mysql stop /etc/init.d/mysql startEksempel på kommandobrug i Linux -serversikkerhed, vi kommer til at bruge nogle kommandoer til at opdage og forhindre angreb på tjenester, der er hyppigst.
EN denial of service -angreb (DoS -angreb) eller Distribueret denial of service -angreb (DDoS -angreb) det er et forsøg på at gøre en serverressource utilgængelig for sine brugere.
1) Find angrebet
Hovedsymptomet er, at serveren bliver meget langsom, eller "tjenesterne er nede", de holder op med at fungere på grund af for store forbindelser, og serveren kan ikke reagere.
Vi vil bruge kommandoen "netstat".
Det viser os de aktive forbindelser på port 80.
root @ server1: ~ # netstat -an | grep: 80 | sortere
Her kan vi se, at en af de aktive ip, der stiller spørgsmål til vores server, har 5000 forbindelser, mens det kan siges, at det normale ville være omkring 20 eller 30 forbindelser pr. Ip. Vi kunne derefter mistænke et DDOS -angreb, siden forbruget af ressourcer
2) Den første ting vil være at blokere angriberens ip med Iptables
Iptables er navnet på det brugerrumsværktøj, hvorigennem administratoren kan definere filtreringspolitikker for den trafik, der cirkulerer på netværket.
root @ server1: ~ # iptables -I INPUT -s 74,6,73,22 -j DROPMed det går det ned.
3) Installer mod_evasive til Apache
Mod Undvigende er et modul til Apache, der er ansvarlig for at levere et ekstra sikkerhedsniveau til vores meget kraftfulde og tilpassede webserver.
I eksemplet vil vi gøre det for Centos, men det kan tilpasses til enhver Linux med Apache.
Vi installerer afhængigheder fra ssh
root @ server1: ~ # cd/usr/src root @ server1: ~ # wget http://www.zdziarski.com/projects/mod_evasive/mod_evasive_1.10.1.tar.gz root @ server1: ~ # tar zxvf mod_evasive_1.10.1 .tar.gz root @ server1: ~ # cd mod_evasive root @ server1: ~ # apxs -cia mod_evasive20.c # for Apache 1.3 ville kommandoen være apxs -cia mod_evasive.c root @ server1: ~ # vi / etc / httpd / conf /httpd.conf # vi redigerer rodkonfigurationen @ server1: ~ # service httpd genstart # vi genstarter ApacheI / etc / httpd / conf /httpd.conf følgende linjer skal tilføjes.
DOSHashTableSize 3097 DOSPageCount 2 DOSSiteCount 50 DOSPageInterval 1 DOSSiteInterval 1 DOSBlockingPeriod 300Vigtige parametre
- DOSPageCount: antal forbindelser, som en bruger kan oprette pr. sekund, før hans ip blokeres.
- DOSSiteCount: hvor mange anmodninger en bruger kan stille, før den blokeres.
- DOSBlokeringsperiode: hvor lang tid i sekunder blokerer denne IP.
