Linux服務器運維安全策略經驗分享

今天跟你們分享的主題是:線上Linux服務器運維安全策略經驗。安全是IT行業一個老生常談的話題了,從以前的「棱鏡門」事件中折射出了不少安全問題,處理好信息安全問題已變得刻不容緩。所以作爲運維人員,就必須瞭解一些安全運維準則,同時,要保護本身所負責的業務,首先要站在攻擊者的角度思考問題,修補任何潛在的威脅和漏洞。今天,我爲你們講的,主要分五部分展開:帳戶和登陸安全帳戶安全是系統安全的第一道屏障,也是系統安全的核心,保障登陸帳戶的安全,在必定程度上能夠提升服務器的安全級別,下面重點介紹下Linux系統登陸帳戶的安全設置方法。node

一、刪除特殊的帳戶和帳戶組 Linux提供了各類不一樣角色的系統帳號,在系統安裝完成後,默認會安裝不少沒必要要的用戶和用戶組,若是不須要某些用戶或者組,就要當即刪除它,由於帳戶越多,系統就越不安全,極可能被黑客利用,進而威脅到服務器的安全。shell

Linux系統中能夠刪除的默認用戶和組大體有以下這些:安全

 可刪除的用戶,如adm,lp,sync,shutdown,halt,news,uucp,operator,games,gopher等。bash

可刪除的組,如adm,lp,news,uucp,games,dip,pppusers,popusers,slipusers等。服務器

二、關閉系統不須要的服務Linux在安裝完成後,綁定了不少沒用的服務,這些服務默認都是自動啓動的。對於服務器來講,運行的服務越多,系統就越不安全,越少服務在運行,安全性就越好,所以關閉一些不須要的服務,對系統安全有很大的幫助。具體哪些服務能夠關閉,要根據服務器的用途而定,通常狀況下,只要系統自己用不到的服務都認爲是沒必要要的服務。例如:某臺Linux服務器用於www應用,那麼除了httpd服務和系統運行是必須的服務外,其餘服務均可以關閉。下面這些服務通常狀況下是不須要的,能夠選擇關閉: anacron、auditd、autofs、avahi-daemon、avahi-dnsconfd、bluetooth、cpuspeed、firstboot、gpm、haldaemon、hidd、ip6tables、ipsec、isdn、lpd、mcstrans、messagebus、netfs、nfs、nfslock、nscd、pcscd portmap、readahead_early、restorecond、rpcgssd、rpcidmapd、rstatd、sendmail、setroubleshoot、yppasswdd ypserv網絡

三、密碼安全策略在Linux下,遠程登陸系統有兩種認證方式:密碼認證和密鑰認證。密碼認證方式是傳統的安全策略,對於密碼的設置,比較廣泛的說法是:至少6個字符以上,密碼要包含數字、字母、下劃線、特殊符號等。設置一個相對複雜的密碼,對系統安全能起到必定的防禦做用,可是也面臨一些其餘問題,例如密碼暴力破解、密碼泄露、密碼丟失等,同時過於複雜的密碼對運維工做也會形成必定的負擔。密鑰認證是一種新型的認證方式,公用密鑰存儲在遠程服務器上,專用密鑰保存在本地,當須要登陸系統時,經過本地專用密鑰和遠程服務器的公用密鑰進行配對認證,若是認證成功,就成功登陸系統。這種認證方式避免了被暴力破解的危險,同時只要保存在本地的專用密鑰不被黑客盜用,攻擊者通常沒法經過密鑰認證的方式進入系統。所以,在Linux下推薦用密鑰認證方式登陸系統,這樣就能夠拋棄密碼認證登陸系統的弊端。Linux服務器通常經過SecureCRT、putty、Xshell之類的工具進行遠程維護和管理,密鑰認證方式的實現就是藉助於SecureCRT軟件和Linux系統中的SSH服務實現的。app

四、合理使用su、sudo命令su命令:是一個切換用戶的工具,常常用於將普通用戶切換到超級用戶下,固然也能夠從超級用戶切換到普通用戶。爲了保證服務器的安全,幾乎全部服務器都禁止了超級用戶直接登陸系統,而是經過普通用戶登陸系統,而後再經過su命令切換到超級用戶下,執行一些須要超級權限的工做。經過su命令可以給系統管理帶來必定的方便,可是也存在不安全的因素,例如:系統有10個普通用戶,每一個用戶都須要執行一些有超級權限的操做,就必須把超級用戶的密碼交給這10個普通用戶,若是這10個用戶都有超級權限,經過超級權限能夠作任何事,那麼會在必定程度上對系統的安全形成了威協。所以su命令在不少人都須要參與的系統管理中,並非最好的選擇,超級用戶密碼應該掌握在少數人手中,此時sudo命令就派上用場了。sudo命令:容許系統管理員分配給普通用戶一些合理的「權利」,而且不須要普通用戶知道超級用戶密碼,就能讓他們執行一些只有超級用戶或其餘特許用戶才能完成的任務。好比:系統服務重啓、編輯系統配置文件等,經過這種方式不但能減小超級用戶登陸次數和管理時間,也提升了系統安全性。所以,sudo命令相對於權限無限制性的su來講,仍是比較安全的,因此sudo也被稱爲受限制的su,另外sudo也是須要事先進行受權認證的,因此也被稱爲受權認證的su。運維

sudo執行命令的流程是:將當前用戶切換到超級用戶下,或切換到指定的用戶下,而後以超級用戶或其指定切換到的用戶身份執行命令,執行完成後,直接退回到當前用戶,而這一切的完成要經過sudo的配置文件/etc/sudoers來進行受權。ssh

sudo設計的宗旨是:賦予用戶儘量少的權限但仍容許它們完成本身的工做,這種設計兼顧了安全性和易用性,所以,強烈推薦經過sudo來管理系統帳號的安全,只容許普通用戶登陸系統,若是這些用戶須要特殊的權限,就經過配置/etc/sudoers來完成,這也是多用戶系統下帳號安全管理的基本方式。tcp

五、刪減系統登陸歡迎信息 系統的一些歡迎信息或版本信息,雖然能給系統管理者帶來必定的方便,可是這些信息有時候可能被黑客利用,成爲攻擊服務器的幫兇,爲了保證系統的安全,能夠修改或刪除某些系統文件,須要修改或刪除的文件有4個,分別是:/etc/issue、/etc/issue.net、/etc/redhat-release和/etc/motd。/etc/issue和/etc/issue.net文件都記錄了操做系統的名稱和版本號,當用戶經過本地終端或本地虛擬控制檯等登陸系統時,/etc/issue的文件內容就會顯示,當用戶經過ssh或telnet等遠程登陸系統時,/etc/issue.net文件內容就會在登陸後顯示。在默認狀況下/etc/issue.net文件的內容是不會在ssh登陸後顯示的,要顯示這個信息能夠修改/etc/ssh/sshd_config文件,在此文件中添加以下內容便可:Banner /etc/issue.net其實這些登陸提示很明顯泄漏了系統信息,爲了安全起見,建議將此文件中的內容刪除或修改。/etc/redhat-release文件也記錄了操做系統的名稱和版本號,爲了安全起見,能夠將此文件中的內容刪除。/etc/motd文件是系統的公告信息。每次用戶登陸後,/etc/motd文件的內容就會顯示在用戶的終端。經過這個文件系統管理員能夠發佈一些軟件或硬件的升級、系統維護等通告信息,可是此文件的最大做用就、是能夠發佈一些警告信息,當黑客登陸系統後,會發現這些警告信息,進而產生一些震懾做用。看過國外的一個報道,黑客入侵了一個服務器,而這個服務器卻給出了歡迎登陸的信息,所以法院不作任何裁決。遠程訪問和認證安全 一、遠程登陸取消telnet而採用SSH方式 telnet是一種古老的遠程登陸認證服務,它在網絡上用明文傳送口令和數據,所以別有用心的人就會很是容易截獲這些口令和數據。並且,telnet服務程序的安全驗證方式也極其脆弱,攻擊者能夠輕鬆將虛假信息傳送給服務器。如今遠程登陸基本拋棄了telnet這種方式,而取而代之的是經過SSH服務遠程登陸服務器。二、合理使用Shell歷史命令記錄功能 在Linux下可經過history命令查看用戶全部的歷史操做記錄,同時shell命令操做記錄默認保存在用戶目錄下的.bash_history文件中,經過這個文件能夠查詢shell命令的執行歷史,有助於運維人員進行系統審計和問題排查,同時,在服務器遭受黑客攻擊後,也能夠經過這個命令或文件查詢黑客登陸服務器所執行的歷史命令操做,可是有時候黑客在入侵服務器後爲了毀滅痕跡,可能會刪除.bash_history文件,這就須要合理的保護或備份.bash_history文件。三、啓用tcp_wrappers防火牆Tcp_Wrappers是一個用來分析TCP/IP封包的軟件,相似的IP封包軟件還有iptables。Linux默認都安裝了Tcp_Wrappers。做爲一個安全的系統,Linux自己有兩層安全防火牆,經過IP過濾機制的iptables實現第一層防禦。iptables防火牆經過直觀地監視系統的運行情況,阻擋網絡中的一些惡意攻擊,保護整個系統正常運行,免遭攻擊和破壞。若是經過了第一層防禦,那麼下一層防禦就是tcp_wrappers了。經過Tcp_Wrappers能夠實現對系統中提供的某些服務的開放與關閉、容許和禁止,從而更有效地保證系統安全運行。文件系統安全一、鎖定系統重要文件系統運維人員有時候可能會遇到經過root用戶都不能修改或者刪除某個文件的狀況,產生這種狀況的大部分緣由多是這個文件被鎖定了。在Linux下鎖定文件的命令是chattr,經過這個命令能夠修改ext二、ext三、ext4文件系統下文件屬性,可是這個命令必須有超級用戶root來執行。和這個命令對應的命令是lsattr,這個命令用來查詢文件屬性。對重要的文件進行加鎖,雖然可以提升服務器的安全性,可是也會帶來一些不便。例如:在軟件的安裝、升級時可能須要去掉有關目錄和文件的immutable屬性和append-only屬性,同時,對日誌文件設置了append-only屬性,可能會使日誌輪換(logrotate)沒法進行。所以,在使用chattr命令前,須要結合服務器的應用環境來權衡是否須要設置immutable屬性和append-only屬性。另外,雖然經過chattr命令修改文件屬性可以提升文件系統的安全性,可是它並不適合全部的目錄。chattr命令不能保護/、/dev、/tmp、/var等目錄。根目錄不能有不可修改屬性,由於若是根目錄具備不可修改屬性,那麼系統根本沒法工做:/dev在啓動時,syslog須要刪除並從新創建/dev/log套接字設備,若是設置了不可修改屬性,那麼可能出問題;/tmp目錄會有不少應用程序和系統程序須要在這個目錄下創建臨時文件,也不能設置不可修改屬性;/var是系統和程序的日誌目錄,若是設置爲不可修改屬性,那麼系統寫日誌將沒法進行,因此也不能經過chattr命令保護。二、文件權限檢查和修改不正確的權限設置直接威脅着系統的安全,所以運維人員應該能及時發現這些不正確的權限設置,並馬上修正,防患於未然。下面列舉幾種查找系統不安全權限的方法。(1)查找系統中任何用戶都有寫權限的文件或目錄

查找文件:find / -type f -perm -2 -o -perm -20 |xargs ls -al查找目錄:find / -type d -perm -2 -o -perm -20 |xargs ls –ld

(2)查找系統中全部含「s」位的程序

find / -type f -perm -4000 -o -perm -2000 -print | xargs ls –al

含有「s」位權限的程序對系統安全威脅很大,經過查找系統中全部具備「s」位權限的程序,能夠把某些沒必要要的「s」位程序去掉,這樣能夠防止用戶濫用權限或提高權限的可能性。(3)檢查系統中全部suid及sgid文件

find / -user root -perm -2000 -print -exec md5sum {} \;find / -user root -perm -4000 -print -exec md5sum {} \;

將檢查的結果保存到文件中,可在之後的系統檢查中做爲參考。(4)檢查系統中沒有屬主的文件

find / -nouser -o –nogroup

沒有屬主的孤兒文件比較危險,每每成爲黑客利用的工具,所以找到這些文件後,要麼刪除掉,要麼修改文件的屬主,使其處於安全狀態。三、/tmp、/var/tmp、/dev/shm安全設定在Linux系統中,主要有兩個目錄或分區用來存放臨時文件,分別是/tmp和/var/tmp。存儲臨時文件的目錄或分區有個共同點就是全部用戶可讀寫、可執行,這就爲系統留下了安全隱患。攻擊者能夠將病毒或者木馬腳本放到臨時文件的目錄下進行信息收集或假裝,嚴重影響服務器的安全,此時,若是修改臨時目錄的讀寫執行權限,還有可能影響系統上應用程序的正常運行,所以,若是要兼顧二者,就須要對這兩個目錄或分區就行特殊的設置。/dev/shm是Linux下的一個共享內存設備,在Linux啓動的時候系統默認會加載/dev/shm,被加載的/dev/shm使用的是tmpfs文件系統,而tmpfs是一個內存文件系統,存儲到tmpfs文件系統的數據會徹底駐留在RAM中,這樣經過/dev/shm就能夠直接操控系統內存,這將很是危險,所以如何保證/dev/shm安全也相當重要。對於/tmp的安全設置,須要看/tmp是一個獨立磁盤分區,仍是一個根分區下的文件夾,若是/tmp是一個獨立的磁盤分區,那麼設置很是簡單,修改/etc/fstab文件中/tmp分區對應的掛載屬性,加上nosuid、noexec、nodev三個選項便可,修改後的/tmp分區掛載屬性相似以下:LABEL=/tmp  /tmp ext3 rw,nosuid,noexec,nodev 0 0 其中,nosuid、noexec、nodev選項,表示不容許任何suid程序,而且在這個分區不能執行任何腳本等程序,而且不存在設備文件。在掛載屬性設置完成後,從新掛載/tmp分區,保證設置生效。對於/var/tmp,若是是獨立分區,安裝/tmp的設置方法是修改/etc/fstab文件便可;若是是/var分區下的一個目錄,那麼能夠將/var/tmp目錄下全部數據移動到/tmp分區下,而後在/var下作一個指向/tmp的軟鏈接便可。也就是執行以下操做:

[root@server ~]# mv /var/tmp/* /tmp[root@server ~]# ln -s  /tmp /var/tmp

若是/tmp是根目錄下的一個目錄,那麼設置稍微複雜,能夠經過建立一個loopback文件系統來利用Linux內核的loopback特性將文件系統掛載到/tmp下,而後在掛載時指定限制加載選項便可。一個簡單的操做示例以下:

[root@server ~]# dd if=/dev/zero of=/dev/tmpfs bs=1M count=10000[root@server ~]# mke2fs -j /dev/tmpfs[root@server ~]# cp -av /tmp /tmp.old[root@server ~]# mount -o loop,noexec,nosuid,rw /dev/tmpfs /tmp[root@server ~]# chmod 1777 /tmp[root@server ~]# mv -f /tmp.old/* /tmp/[root@server ~]# rm -rf /tmp.old

最後,編輯/etc/fstab,添加以下內容,以便系統在啓動時自動加載loopback文件系統:

/dev/tmpfs /tmp ext3 loop,nosuid,noexec,rw 0 0

Linux後門入侵檢測工具rootkit是Linux平臺下最多見的一種木馬後門工具,它主要經過替換系統文件來達到入侵和和隱蔽的目的,這種木馬比普通木馬後門更加危險和隱蔽,普通的檢測工具和檢查手段很難發現這種木馬。rootkit攻擊能力極強,對系統的危害很大,它經過一套工具來創建後門和隱藏行跡,從而讓攻擊者保住權限,以使它在任什麼時候候均可以使用root權限登陸到系統。rootkit主要有兩種類型:文件級別和內核級別,下面分別進行簡單介紹。文件級別的rootkit通常是經過程序漏洞或者系統漏洞進入系統後,經過修改系統的重要文件來達到隱藏本身的目的。在系統遭受rootkit攻擊後,合法的文件被木馬程序替代,變成了外殼程序,而其內部是隱藏着的後門程序。一般容易被rootkit替換的系統程序有login、ls、ps、ifconfig、du、find、netstat等,其中login程序是最常常被替換的,由於當訪問Linux時,不管是經過本地登陸仍是遠程登陸,/bin/login程序都會運行,系統將經過/bin/login來收集並覈對用戶的帳號和密碼,而rootkit就是利用這個程序的特色,使用一個帶有根權限後門密碼的/bin/login來替換系統的/bin/login,這樣攻擊者經過輸入設定好的密碼就能輕鬆進入系統。此時,即便系統管理員修改root密碼或者清除root密碼,攻擊者仍是同樣能經過root用戶登陸系統。攻擊者一般在進入Linux系統後,會進行一系列的攻擊動做,最多見的是安裝嗅探器收集本機或者網絡中其餘服務器的重要數據。在默認狀況下,Linux中也有一些系統文件會監控這些工具動做,例如ifconfig命令,因此,攻擊者爲了不被發現,會千方百計替換其餘系統文件,常見的就是ls、ps、ifconfig、du、find、netstat等。若是這些文件都被替換,那麼在系統層面就很難發現rootkit已經在系統中運行了。這就是文件級別的rootkit,對系統維護很大,目前最有效的防護方法是按期對系統重要文件的完整性進行檢查,若是發現文件被修改或者被替換,那麼極可能系統已經遭受了rootkit入侵。檢查件完整性的工具不少,常見的有Tripwire、 aide等,能夠經過這些工具按期檢查文件系統的完整性,以檢測系統是否被rootkit入侵。內核級rootkit是比文件級rootkit更高級的一種入侵方式,它可使攻擊者得到對系統底層的徹底控制權,此時攻擊者能夠修改系統內核,進而截獲運行程序向內核提交的命令,並將其重定向到入侵者所選擇的程序並運行此程序,也就是說,當用戶要運行程序A時,被入侵者修改過的內核會僞裝執行A程序,而實際上卻執行了程序B。內核級rootkit主要依附在內核上,它並不對系統文件作任何修改,所以通常的檢測工具很難檢測到它的存在,這樣一旦系統內核被植入rootkit,攻擊者就能夠對系統隨心所欲而不被發現。目前對於內核級的rootkit尚未很好的防護工具,所以,作好系統安全防範就很是重要,將系統維持在最小權限內工做,只要攻擊者不能獲取root權限,就沒法在內核中植入rootkit。一、rootkit後門檢測工具chkrootkit  chkrootkit是一個Linux系統下查找並檢測rootkit後門的工具,它的官方址:http://www.chkrootkit.org/。 chkrootkit沒有包含在官方的CentOS源中,所以要採起手動編譯的方法來安裝,不過這種安裝方法也更加安全。chkrootkit的使用比較簡單,直接執行chkrootkit命令便可自動開始檢測系統。下面是某個系統的檢測結果:

[root@server chkrootkit]# /usr/local/chkrootkit/chkrootkitChecking `ifconfig’… INFECTEDChecking `ls’… INFECTEDChecking `login’… INFECTEDChecking `netstat’… INFECTEDChecking `ps’… INFECTEDChecking `top’… INFECTEDChecking `sshd’… not infectedChecking `syslogd’… not tested

從輸出能夠看出,此係統的ifconfig、ls、login、netstat、ps和top命令已經被感染。針對被感染rootkit的系統,最安全而有效的方法就是備份數據從新安裝系統。chkrootkit在檢查rootkit的過程當中使用了部分系統命令,所以,若是服務器被黑客入侵,那麼依賴的系統命令可能也已經被入侵者替換,此時chkrootkit的檢測結果將變得徹底不可信。爲了不chkrootkit的這個問題,能夠在服務器對外開放前,事先將chkrootkit使用的系統命令進行備份,在須要的時候使用備份的原始系統命令讓chkrootkit對rootkit進行檢測。二、rootkit後門檢測工具RKHunter  RKHunter是一款專業的檢測系統是否感染rootkit的工具,它經過執行一系列的腳原本確認服務器是否已經感染rootkit。在官方的資料中,RKHunter能夠做的事情有:MD5校驗測試,檢測文件是否有改動

 檢測rootkit使用的二進制和系統工具文件 檢測特洛伊木馬程序的特徵碼 檢測經常使用程序的文件屬性是否異常 檢測系統相關的測試 檢測隱藏文件 檢測可疑的核心模塊LKM 檢測系統已啓動的監聽端口

在Linux終端使用rkhunter來檢測,最大的好處在於每項的檢測結果都有不一樣的顏色顯示,若是是綠色的表示沒有問題,若是是紅色的,那就要引發關注了。另外,在執行檢測的過程當中,在每一個部分檢測完成後,須要以Enter鍵來繼續。若是要讓程序自動運行,能夠執行以下命令:

[root@server ~]# /usr/local/bin/rkhunter –check –skip-keypress 

同時,若是想讓檢測程序天天定時運行,那麼能夠在/etc/crontab中加入以下內容:

30 09 * * * root /usr/local/bin/rkhunter –check –cronjob 

這樣,rkhunter檢測程序就會在天天的9:30分運行一次。服務器遭受攻擊後的處理過程安全老是相對的,再安全的服務器也有可能遭受到攻擊。做爲一個安全運維人員,要把握的原則是:儘可能作好系統安全防禦,修復全部已知的危險行爲,同時,在系統遭受攻擊後可以迅速有效地處理攻擊行爲,最大限度地下降攻擊對系統產生的影響。一、處理服務器遭受攻擊的通常思路 系統遭受攻擊並不可怕,可怕的是面對攻擊一籌莫展,下面就詳細介紹下在服務器遭受攻擊後的通常處理思路。(1)切斷網絡全部的攻擊都來自於網絡,所以,在得知系統正遭受黑客的攻擊後,首先要作的就是斷開服務器的網絡鏈接,這樣除了能切斷攻擊源以外,也能保護服務器所在網絡的其餘主機。(2)查找攻擊源能夠經過分析系統日誌或登陸日誌文件,查看可疑信息,同時也要查看系統都打開了哪些端口,運行哪些進程,並經過這些進程分析哪些是可疑的程序。這個過程要根據經驗和綜合判斷能力進行追查和分析。下面會詳細介紹這個過程的處理思路。(3)分析入侵緣由和途徑既然系統遭到入侵,那麼緣由是多方面的,多是系統漏洞,也多是程序漏洞,必定要查清楚是哪一個緣由致使的,而且還要查清楚遭到攻擊的途徑,找到攻擊源,由於只有知道了遭受攻擊的緣由和途徑,才能刪除攻擊源同時進行漏洞的修復。(4)備份用戶數據在服務器遭受攻擊後,須要馬上備份服務器上的用戶數據,同時也要查看這些數據中是否隱藏着攻擊源。若是攻擊源在用戶數據中,必定要完全刪除,而後將用戶數據備份到一個安全的地方。(5)從新安裝系統永遠不要認爲本身能完全清除攻擊源,由於沒有人能比黑客更瞭解攻擊程序,在服務器遭到攻擊後,最安全也最簡單的方法就是從新安裝系統,由於大部分攻擊程序都會依附在系統文件或者內核中,因此從新安裝系統才能完全清除攻擊源。(6)修復程序或系統漏洞在發現系統漏洞或者應用程序漏洞後,首先要作的就是修復系統漏洞或者更改程序bug,由於只有將程序的漏洞修復完畢才能正式在服務器上運行。(7)恢復數據和鏈接網絡將備份的數據從新複製到新安裝的服務器上,而後開啓服務,最後將服務器開啓網絡鏈接,對外提供服務。二、檢查並鎖定可疑用戶 當發現服務器遭受攻擊後,首先要切斷網絡鏈接,可是在有些狀況下,好比沒法立刻切斷網絡鏈接時,就必須登陸系統查看是否有可疑用戶,若是有可疑用戶登陸了系統,那麼須要立刻將這個用戶鎖定,而後中斷此用戶的遠程鏈接。三、查看系統日誌 查看系統日誌是查找攻擊源最好的方法,可查的系統日誌有/var/log/messages、/var/log/secure等,這兩個日誌文件能夠記錄軟件的運行狀態以及遠程用戶的登陸狀態,還能夠查看每一個用戶目錄下的.bash_history文件,特別是/root目錄下的.bash_history文件,這個文件中記錄着用戶執行的全部歷史命令。四、檢查並關閉系統可疑進程 檢查可疑進程的命令不少,例如ps、top等,可是有時候只知道進程的名稱沒法得知路徑,此時能夠經過以下命令查看:首先經過pidof命令能夠查找正在運行的進程PID,例如要查找sshd進程的PID,執行以下命令:

[root@server ~]# pidof sshd13276 12942 4284

而後進入內存目錄,查看對應PID目錄下exe文件的信息:

[root@server ~]# ls -al /proc/13276/exe lrwxrwxrwx 1 root root 0 Oct  4 22:09 /proc/13276/exe -> /usr/sbin/sshd

這樣就找到了進程對應的完整執行路徑。若是還有查看文件的句柄,能夠查看以下目錄:

[root@server ~]# ls -al /proc/13276/fd

經過這種方式基本能夠找到任何進程的完整執行信息.五、檢查文件系統的無缺性檢查文件屬性是否發生變化是驗證文件系統無缺性最簡單、最直接的方法,例如能夠檢查被入侵服務器上/bin/ls文件的大小是否與正常系統上此文件的大小相同,以驗證文件是否被替換,可是這種方法比較低級。此時能夠藉助於Linux下rpm這個工具來完成驗證,操做以下:

[root@server ~]# rpm -Va….L…  c /etc/pam.d/system-authS.5…..  c /etc/security/limits.confS.5….T  c /etc/sysctl.confS.5….T    /etc/sgml/docbook-simple.catS.5….T  c /etc/login.defsS.5…..  c /etc/openldap/ldap.confS.5….T  c /etc/sudoers

六、從新安裝系統恢復數據

不少狀況下,被攻擊過的系統已經再也不可信任,所以,最好的方法是將服務器上面數據進行備份,而後從新安裝系統,最後再恢復數據便可。

數據恢復完成,立刻對系統作上面介紹的安全加固策略,保證系統安全。

相關文章
相關標籤/搜索