Vilka tjänster är aktiva, är de alla nödvändiga?
För att se de tjänster som vi har aktiva kan du använda kommando netstat. Till exempel från en SSH -anslutning:
root @ server1: ~ # netstat -aDet visar oss alla aktiva tjänster och lyssnar på att ta emot användare eller anslutningar, här ser vi några liknande Apache (http) för att visa webbsidor, smtp e -postmeddelande, ftp för att ladda upp filer.
Du kan stoppa en tjänst om den är onödig eller om den tar mycket minne eller cpu, för detta kan vi se förbrukningen med kommandot:
root @ server1: ~ # ps aux --sort cputime
Här kan vi se Mysql, antivirusprogrammet Clamav, Y Dovecot är en IMAP- och POP3 -server med öppen källkod. Här kan vi se processen som utförts av oss tidigare, det är viktigt att inte förväxla START -kolumnen som har datum och tider, den anger på vilket datum eller tid operationen började.
För att sedan stoppa en Mysql -exempeltjänst:
/etc/init.d/mysql restart /etc/init.d/mysql stop /etc/init.d/mysql startExempel på kommandobruk i Linux -serversäkerhet, vi kommer att använda några kommandon för att upptäcka och förhindra att denial of services -attacker är de vanligaste.
A denial of service attack (DoS attack) eller Distribuerade denial of service -attacker (DDoS -attack) det är ett försök att göra en serverresurs otillgänglig för sina användare.
1) Upptäck attacken
Huvudsymptomet är att servern blir väldigt långsam, eller "tjänsterna är nere", de slutar fungera på grund av att alltför stora anslutningar skapas, servern kan inte svara.
Vi kommer att använda kommandot "netstat".
Det visar oss de aktiva anslutningarna på port 80.
root @ server1: ~ # netstat -an | grep: 80 | sortera
Här kan vi se att en av de aktiva ip som frågar vår server har 5000 anslutningar, medan det kan sägas att det normala skulle vara cirka 20 eller 30 anslutningar per ip. Vi kan då misstänka en DDOS -attack eftersom resursförbrukningen
2) Det första blir att blockera angriparens ip med Iptables
Iptables är namnet på det användarutrymmeverktyg genom vilket administratören kan definiera filtreringspolicyer för trafiken som cirkulerar i nätverket.
root @ server1: ~ # iptables -I INPUT -s 74,6,73,22 -j DROPMed det kraschar det.
3) Installera mod_evasive för Apache
Mod Undvikande är en modul för Apache som är ansvarig för att ge en extra säkerhetsnivå till vår mycket kraftfulla och anpassningsbara webbserver.
I exemplet kommer vi att göra det för Centos, men det kan anpassas till alla Linux med Apache.
Vi installerar beroenden från ssh
root @ server1: ~ # cd/usr/src root @ server1: ~ # wget http://www.zdziarski.com/projects/mod_evasive/mod_evasive_1.10.1.tar.gz root @ server1: ~ # tar zxvf mod_evasive_1.10.1 .tar.gz root @ server1: ~ # cd mod_evasive root @ server1: ~ # apxs -cia mod_evasive20.c # för Apache 1.3 skulle kommandot vara apxs -cia mod_evasive.c root @ server1: ~ # vi / etc / httpd / conf /httpd.conf # vi redigerar rotkonfigurationen @ server1: ~ # service httpd restart # vi startar om ApacheI / etc / httpd / conf /httpd.conf följande rader bör läggas till.
DOSHashTableSize 3097 DOSPageCount 2 DOSSiteCount 50 DOSPageInterval 1 DOSSiteInterval 1 DOSBlockingPeriod 300Viktiga parametrar
- DOSPageCount: antal anslutningar som en användare kan göra per sekund innan hans ip blockeras.
- DOSSiteCount: hur många förfrågningar en användare kan göra innan de blockeras.
- DOSBlockingPeriod: hur länge i sekunder blockeringen av den IP: n kommer att pågå.
