Welke diensten zijn actief, zijn ze allemaal nodig?
Om de services te zien die we actief hebben, kunt u de netstat commando. Bijvoorbeeld vanaf een SSH-verbinding:
root @ server1: ~ # netstat -aHet laat ons alle actieve services zien en luisteren om gebruikers of verbindingen te ontvangen, hier zien we er een paar zoals Apache (http) om webpagina's te bedienen, smtp e-mailverzendservice, ftp om bestanden te uploaden.
Je kunt een service stoppen als deze niet nodig is of als deze veel geheugen of cpu in beslag neemt, hiervoor kunnen we het verbruik zien met het commando:
root @ server1: ~ # ps aux --sort cputime
Hier kunnen we zien Mysql, de antivirus Clamav, ja duiventil is een open source IMAP- en POP3-server. Hier kunnen we het proces zien dat eerder door ons is uitgevoerd, het is belangrijk om de START-kolom met datums en tijden niet te verwarren, deze geeft aan op welke datum of tijd de bewerking is begonnen.
Om vervolgens een Mysql-voorbeeldservice te stoppen:
/etc/init.d/mysql herstart /etc/init.d/mysql stop /etc/init.d/mysql startVoorbeeld van het gebruik van commando's in Linux-serverbeveiliging, we gaan enkele commando's gebruiken om een denial of services-aanval te detecteren en te voorkomen die het meest voorkomt.
EEN denial of service-aanval (DoS-aanval) of Distributed denial of service-aanvallen (DDoS-aanval) het is een poging om een serverbron onbeschikbaar te maken voor zijn gebruikers.
1) Detecteer de aanval
Het belangrijkste symptoom is dat de server erg traag wordt, of "services zijn niet beschikbaar", ze stoppen met werken vanwege overmatige verbindingen die worden gegenereerd, de server kan niet reageren.
We zullen de gebruiken commando "netstat".
Het toont ons de actieve verbindingen op poort 80.
root @ server1: ~ # netstat -an | grep: 80 | soort
Hier kunnen we zien dat een van de actieve ip's die onze server opvraagt, 5000 verbindingen heeft, terwijl je zou kunnen zeggen dat de normale ongeveer 20 of 30 verbindingen per ip zou zijn. We zouden dan een DDOS-aanval kunnen vermoeden, aangezien het verbruik van middelen
2) Het eerste is om het IP-adres van de aanvaller te blokkeren met Iptables
Iptables is de naam van de tool voor gebruikersruimte waarmee de beheerder filterbeleid kan definiëren voor het verkeer dat op het netwerk circuleert.
root @ server1: ~ # iptables -I INPUT -s 74,6,73,22 -j DROPDaarmee crasht het.
3) Installeer mod_evasive voor Apache
Mod ontwijkend is een module voor Apache die verantwoordelijk is voor het bieden van een extra beveiligingsniveau aan onze zeer krachtige en aanpasbare webserver.
In het voorbeeld doen we het voor Centos, maar het kan worden aangepast aan elke Linux met Apache.
We installeren afhankelijkheden van ssh
root @ server1: ~ # cd / usr / src root @ server1: ~ # wget http://www.zdziarski.com/projects/mod_evasive/mod_evasive_1.10.1.tar.gz root @ server1: ~ # tar zxvf mod_evasive_1.10.1 .tar.gz root @ server1: ~ # cd mod_evasive root @ server1: ~ # apxs -cia mod_evasive20.c # voor Apache 1.3 zou het commando apxs -cia mod_evasive.c root @ server1 zijn: ~ # vi / etc / httpd / conf /httpd.conf # we bewerken de rootconfiguratie @ server1: ~ # service httpd restart # we herstarten ApacheIn de / etc / httpd / conf /httpd.conf de volgende regels moeten worden toegevoegd.
DOSHashTableSize 3097 DOSPageCount 2 DOSSiteCount 50 DOSpageInterval 1 DOSSiteInterval 1 DOSBlockingPeriode 300Belangrijke parameters
- DOSpageCount: aantal verbindingen dat een gebruiker per seconde kan maken voordat zijn ip wordt geblokkeerd.
- DOSSiteCount: hoeveel verzoeken een gebruiker kan doen voordat deze wordt geblokkeerd.
- DOSBlockingPeriode: hoe lang in seconden de blokkering van dat IP zal duren.
