Welche Dienste sind aktiv, sind sie alle notwendig?
Um die Dienste zu sehen, die wir aktiv haben, können Sie die netstat-Befehl. Zum Beispiel von einer SSH-Verbindung:
root @ server1: ~ # netstat -aEs zeigt uns alle aktiven Dienste und das Abhören von Benutzern oder Verbindungen, hier sehen wir einige wie Apache (http) um Webseiten bereitzustellen, smtp E-Mail-Versanddienst, ftp um Dateien hochzuladen.
Sie können einen Dienst stoppen, wenn er unnötig ist oder viel Speicher oder CPU beansprucht. Dazu können wir den Verbrauch mit dem Befehl sehen:
root @ server1: ~ # ps aux --sort cputime
Hier können wir sehen Mysql, das Antivirenprogramm Clamav, Ja Taubenschlag ist ein Open-Source-IMAP- und POP3-Server. Hier können wir den zuvor von uns ausgeführten Prozess sehen. Es ist wichtig, die Spalte START mit Datums- und Uhrzeitangaben nicht zu verwechseln, da sie angibt, an welchem Datum oder zu welcher Uhrzeit der Vorgang begonnen wurde.
Um dann einen MySQL-Beispieldienst zu stoppen:
/etc/init.d/mysql restart /etc/init.d/mysql stop /etc/init.d/mysql startBeispiel für die Verwendung von Befehlen in der Linux-Serversicherheit: Wir werden einige Befehle verwenden, um einen Denial-of-Services-Angriff zu erkennen und zu verhindern, der am häufigsten vorkommt.
EIN Denial-of-Service-Angriff (DoS-Angriff) oder Verteilte Denial-of-Service-Angriffe (DDoS-Angriff) es ist ein Versuch, eine Serverressource für ihre Benutzer nicht verfügbar zu machen.
1) Erkennen Sie den Angriff
Das Hauptsymptom ist, dass der Server sehr langsam wird oder "Dienste ausgefallen sind", sie funktionieren nicht mehr, weil übermäßig viele Verbindungen generiert werden, der Server kann nicht antworten.
Wir werden die verwenden Befehl "netstat".
Es zeigt uns die aktiven Verbindungen auf Port 80.
root @ server1: ~ # netstat -an | grep: 80 | Sortieren
Hier können wir sehen, dass eine der aktiven IPs, die unseren Server abfragen, 5000 Verbindungen hat, während man sagen könnte, dass die normalen etwa 20 oder 30 Verbindungen pro IP wären. Wir könnten dann einen DDOS-Angriff vermuten, da der Ressourcenverbrauch
2) Als erstes wird die IP des Angreifers mit Iptables blockiert
Iptables ist der Name des User-Space-Tools, mit dem der Administrator Filterrichtlinien für den im Netzwerk zirkulierenden Datenverkehr definieren kann.
root @ server1: ~ # iptables -I INPUT -s 74,6,73,22 -j DROPDamit stürzt es ab.
3) Mod_evasive für Apache installieren
Mod ausweichend ist ein Modul für Apache, das dafür verantwortlich ist, unserem sehr leistungsstarken und anpassbaren Webserver ein zusätzliches Maß an Sicherheit zu bieten.
Im Beispiel machen wir es für Centos, aber es kann mit Apache an jedes Linux angepasst werden.
Wir installieren Abhängigkeiten von ssh
root @ server1: ~ # cd / usr / src root @ server1: ~ # wget http://www.zdziarski.com/projects/mod_evasive/mod_evasive_1.10.1.tar.gz root @ server1: ~ # tar zxvf mod_evasive_1.10.1 .tar.gz root @ server1: ~ # cd mod_evasive root @ server1: ~ # apxs -cia mod_evasive20.c # für Apache 1.3 wäre der Befehl apxs -cia mod_evasive.c root @ server1: ~ # vi / etc / httpd / conf /httpd.conf # wir bearbeiten die Root-Konfiguration @ server1: ~ # service httpd restart # wir starten Apache neuIm /etc/httpd/conf/httpd.conf die folgenden Zeilen sollten hinzugefügt werden.
DOSHashTableSize 3097 DOSPageCount 2 DOSSiteCount 50 DOSPageInterval 1 DOSSiteInterval 1 DOSBlockingPeriod 300Wichtige Parameter
- DOSPageCount: Anzahl der Verbindungen, die ein Benutzer pro Sekunde herstellen kann, bevor seine IP gesperrt wird.
- DOSSiteCount: wie viele Anfragen ein Benutzer stellen kann, bevor er gesperrt wird.
- DOSBlockingPeriode: wie lange in Sekunden die Sperrung dieser IP dauert.
