Redhat系列系统基本防护
设置账号有效期:使用chage工具
账号锁定:使用passwd命令
强制定期修改密码的文件:/etc/login.defs(只对新建的用户有效)
修改登录提示,减少系统私密信息的文件:/etc/issue、/etc/issue.net
禁用非必要的系统服务
锁定保护某些机密文件:使用chattr工具追加文件的i属性、a属性
用户切换:su [-] 用户名
安全日志记录:/var/log/secure
用户提权:
查看自己的sudo授权:sudo -l
执行特权:sudo 特权命令 或者 sudo [-u 目标用户] 特权命令
配置sudo授权的文件:/etc/sudoers
有个默认wheel组,可执行所有命令,应该注释掉!
SSH访问控制:
防护措施:用户限制、黑白名单、更改验证方式,由密码验证到密钥对、防火墙,限制认证次数,启用高版本SSH协议等
服务端配置文件:../ssh/sshd_config
密钥验证:检查客户端的私钥与服务器上的公钥是否匹配
AuthorizedKeysFile 指定公钥文本
私钥文件:id_rsa 公钥文件:id_rsa.pub
创建SSH密钥对:使用ssh-keygen工具,默认RSA加密。
部署SSH公钥:通过ssh-copy-id或者拷贝公钥文件
:
MD5完整性检验:使用md5sum校验工具
GPG加密与解密:
官网:http://www.gnupg.org/
GPG支持很多算法,支持对称加密、非对称加密、散列等
基本加密:gpg -c 文档
基本解密:gpg -d 加密的文档
GPG非对称加密与解密:
1.创建密钥对:gpg --gen-key
2.查看密钥对:gpg --list-keys
3.导出公钥:gpg -a --export 用户B >放置公钥的文件
4.导入公钥:gpg --import 已有公钥的文件
GPG软件签名与验证:
1.签名:gpg -b 文件
2.导入公钥:gpg --import
3.验证:gpg --verify
AIDE入侵检测系统
软件包:aide
默认配置文件:/etc/aide.conf
1.初始化检测:没有被攻击前(一般系统刚安装时),执行校验操作:aide --init
2.拷贝校验的文件到安全存储,如移动硬盘
若认为有入侵,将之前备份的校验文件还原:cp 疑似感染文档 校验文件位置目录,执行aide --check
扫描与抓包
NMAP扫描:网络探测,主机与端口发现等
基本用法:nmap [扫描类型] [选项] <扫描目标>
常用扫描类型:-sS、-sT、-sU、-sP、-A、-p
tcpdump抓包:提取TCP数据包
基本用法:tcpdump 【选项】【过滤条件】
常见监控选项:-i、-A、-w、-r
访问1.1.1.1的POP3服务:tcpdump -A dst host 1.1.1.1 and tcp port 110