首页 ›存档› 技术 › 查看内容

浅谈linux安全加固~

2018-3-30 13:00 |来自: 互联网 293 0

摘要: 作者：xiaoye i春秋社区文章难易度【★★★】文章知识点：linux;python;web安全前言linux被越来越多的企业使用，因此掌握一些基本的linux安全加固是有必要的，今天我们来浅谈一些企业常用的linux加固方式，当然仅仅 ...

作者：xiaoye

i春秋社区

文章难易度【★★★】

文章知识点：linux;python;web安全

前言

linux被越来越多的企业使用，因此掌握一些基本的linux安全加固是有必要的，今天我们来浅谈一些企业常用的linux加固方式，当然仅仅这一篇文章是不可能面面俱到的，有不到之处还请大家多多包涵。

防止ssh暴破之denyhosts

说到denyhosts，不得不说linux里面两个重要的文件：hosts.deny、hosts.allow
hosts.deny里面存放禁止访问的设定，.allow里面存放的是允许访问的设定
比如在.allow里写入 sshd:210.12.123.*:allow就代表允许此ip段对sshd服务的使用
同样，在.deny里写入sshd:210.12.123.*就代表禁止此ip段连上本机的ssh

查看22端口开放情况，已经被ssh使用：

我们在hosts.deny里面加入如下：

这个时候，我们的.allow是空的，因此.deny对访问控制有绝对的控制权，此时访问ftp和ssh服务只有被拒绝的份：

我们有时候是会闹出“乌龙”，自己把自己给禁了也是常有的事，这时候，我们要给信任的主机ip加入.allow白名单：

再来试试：

ok了，因为.allow的“权力”比.deny的大。
我们一定要注意一点：
/etc/hosts.allow 的设定优先于 /etc/hosts.deny
就是说，一个ip既在.allow里，又在.deny里，那么以.allow为准，此ip依旧有权限使用某服务。
其实今天要说的denyhosts，就是在此基础上写的p小程序：
DenyHosts是Python语言写的一个程序，它会分析sshd的日志文件（/var/log/secure），当发现重复的渗透时就会记录IP到/etc/hosts.deny文件，从而达到自动屏IP的功能。
安装有点小麻烦，在这里贴图比较多：
先去网上下载压缩包：

解压：

安装，因为使用python写的 python setup.py install：

安装目录默认：

切进安装目录：

将目录下的两个文件重命名后才能使用：

常见的选项：

有关于常见的选项，大家可以看看http://www.cnblogs.com/suihui/p/3899381.html因为太多了。。。哈哈。
改变文件所属以及赋予相应的权限，并将其添加软连接（类似于win下的快捷方式）进/etc/init.d/，这个目录大家一定很熟悉，我们启动某个应用或者服务时，一种方法就是/etc.init.d/服务 start，当然service ** start也是一样 centos7下就是systemctl start/stop/restart xx.service：

安装以及配置好了以后，我们启动服务来试试效果：
先清了之前实验时候.allow里面的白名单，然后故意输错几次密码：

回看hosts.deny，该ip已经被拉黑了。

关于防止ssh ftp爆破的，其实有个fail2ban做的相当好，比denyhosts功能要强大一些，有兴趣的小伙伴可以去试试水。

简单的防止Ping探测存活主机

很多时候服务器都会被ping，来探测该主机是否存活，以及判断其他一些信息，如果，我们不想让人ping到，但是又不能影响正常web服务，怎么办？
echo 1

声明：文章版权归原作者所有部分文章转自互联网如有侵权请联系 [邮箱地址] 删除