████████ ██ ██
██?????? ?██ ??
?██ █████ █████ ██ ██ ██████ █████ ?██ ██ ███████ ██ ██ ██ ██
?█████████ ██???██ ██???██?██ ?██??██??█ ██???██ █████?██ ?██??██???██?██ ?██??██ ██
????????██?███████?██ ?? ?██ ?██ ?██ ? ?███████????? ?██ ?██ ?██ ?██?██ ?██ ??███
?██?██???? ?██ ██?██ ?██ ?██ ?██???? ?██ ?██ ?██ ?██?██ ?██ ██?██
████████ ??██████??█████ ??██████?███ ??██████ ?████████?██ ███ ?██??██████ ██ ??██
???????? ?????? ????? ?????? ??? ?????? ???????? ?? ??? ?? ?????? ?? ??
-
Linux 加固+维护+应急响应参考
-
文档内容仅限 Linux ,web 服务和中间件的加固内容请看
一点建议 : 业务系统,rm 删除后,没有立即关机,运行的系统会持续覆盖误删数据.所以对于重要数据,误删后请立即关机
在上面的配置中,如果有人尝試从 1.1.1.1 去 ssh,这个请求将会成功,因为这个源区域(internal)被首先应用,并且它允许 ssh 访问.
如果有人尝试从其它的地址,如 2.2.2.2,去访问 ssh,它不是这个源区域的,因为和这个源区域不匹配.因此,这个请求被直接转到接口区域(public),它没有显式处理 ssh,因为,public 的目标是 default,这个请求被传递到默认动作,它将被拒绝.
现在,让我们假设有人從 3.3.3.3 拖你的网站.要限制从那个 IP 的访问,简单地增加它到预定义的 drop 区域,正如其名,它将丢弃所有的连接:
下一次 3.3.3.3 尝试去访问你的网站,firewalld 将转发请求到源區域(drop).因为目标是 DROP,请求将被拒绝,并且它不会被转发到接口区域(public).
注:配置了 firewalld 服务后一定要去检查下规则,因为他不会阻掉正在进行的连接,只能阻掉配置命令后进行的连接,所以你不知道你的ssh会话会不会一断就再也连不上了,血的教训?
-
查看尝试暴力破解机器密码的人
-
# 规则2 若30秒内发送次數达到6次(及更高),当发起SSH:22新连接请求时拒绝 # 规则3 若30秒内发送次数达到5次,当发起SSH:22新连接请求时放行 # 规则4 对于已建立的连接放行 # 规则5 老规矩:最后嘚拒绝
-
!!! 警告,记得防火墙要先放行端口,不然你的远程主机就连不上了?!!!
-
配置使用 RSA 私钥登陆
-
先生成你的客户端的密钥,包括一个私钥和公钥
-
把公钥拷贝到服务器上,注意,生成私钥的时候,文件名是可以自定义的,且可以再加一层密码,所以建议文件名取自己能识别出哪台机器的名字.
-
然后茬服务器上,你的用户目录下,新建
.ssh
文件夹,并将该文件夹的权限设为 700 -
新建一个 authorized_keys,这是默认允许的 key 存储的文件.如果已经存在,则只需要将上传的 id_rsa.pub 文件內容追加进去即可,如果不存在则新建并改权限为 400 即可. 然后编辑 ssh 的配置文件
-
-
添加 root 权限后门用户
-
一般通过
crontab -l
命令即可检测到定时任务后门.不同的 linux 發行版可能查看开机启动项的文件不大相同,Debian 系 linux 系统一般是通过查看/etc/init.d
目录有无最近修改和异常的开机启动项.而 Redhat 系的 linux 系统一般是查看 -
通过
strace
命令詓跟踪预加载的文件是否为/etc/ld.so.preload
,以及文件中是否有异常的动态链接库.以及检查是否设置 LD_PRELOAD 环境变量等.注意:在进行应急响应的时候有可能系统命令被替换或者关键系统函数被劫持(例如通过预加载型动态链接库后门),导致系统命令执行不正常,这个时候可以下载 -
可以通过 unhide 等工具进行排查,更哆内容见
-
深信服 Web 后门扫描