安全运维手册PPT课件
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
403。 支持URL参数过滤,原理同上。 支持日志记录,将所有拒绝的操作,记录到日志中去。
7
资源参数优化
为防止大并发或服务器被攻击,导致系统资源耗光最终无法响应。 需调整/etc/security/limits.conf将文件打开数调整至适用范围。
8
日志收集与审计
搭建实时日志查询,收集与分析系统。
概述安全运维
安全运维手册
1
防火墙与堡垒机的作用介绍
防火墙:内部网络和外部网络之间的所有网络数据流都必须经过 防火墙,所处网络位置特性的防火墙,同时也是一个前提。因为 只有当防火墙是内、外部网络之间通信的唯一通道,才可以全面、 有效地保护内部网络不受侵害,防止内部信息外泄。
堡垒机:作为维护内部服务器的唯一通道,能有效的管理控制与 审计。
4
Pam加固ssh登陆锁定
可以有效防止突破内网后有针对性的对服务器进行暴力破解。 编辑/etc/pam.d/ssh,第一行加入 auth required pam_tally2.so deny=5 onerr=fail unlock_time=300 ll /lib64/security/pan_tally2.so 此模块的功能是,登陆错误输入密码5次,5分钟后自动解禁,在未解禁
期间输入正确密码也无法登陆。 可执行pam_tally2查看失败次数 可执行pam_tally2 -r -u root重置计数 pam_tally2 计数器日志保存在 /var/log/tallylog
5
记录操作命令及时间
可以记录用户任何时间操作的每一条信息,编辑/etc/profile,增 加内容如下
2
tcp_wrapper的原理与基本过程
Linux服务器中Telnet、SSH、FTP、POP3和SMTP等很多网络服 务都会用到TCP Wrapper,它被设计为一个介于外来服务请求和系 统服务回应的中间处理软件。
当系统接收到一个外来服务请求的时候 ,先由TCP Wrapper处理 这个请求TCP Wrapper根据这个请求所请求的服务和针对这个服 务所定制的存取控制规则来判断对方是否有使用这个服务的权限, 如果有,TCP Wrapper将该请求按照配置文件定义的规则转交给 相应的守护进程去处理同时记录这个请求动作,然后自己就等待 下一个请求的处理。
HISTTIMEFORMAT="[%F %T] " HISTSIZE=5000 HISTFILESIZE=5000 PS1="[\u@\h \t \w]\\$ " export HISTTIMEFORMAT="[%Y.%m.%d %H:%M:%S]“
6
WAF应用防护
功能列表: 支持IP白名单和黑名单功能,直接将黑名单的IP访问拒绝。 支持URL白名单,将不需要过滤的URL进行定义。 支持User-Agent的过滤,匹配自定义规则中的条目,然后进行处理(返回403)。 支持CC攻击防护,单个URL指定时间的访问次数,超过设定值,直接返回403。 支持Cookie过滤,匹配自定义规则中的条目,然后进行处理(返回403)。 支持URL过滤,匹配自定义规则中的条目,如果用户请求的URL包含这些,返回
注:基于xinetd的服务都支持tcp_wrapper
3
修改SSH服务默认端口号
在Linux中,默认的SSH端口号为22,由于这是大家都知道的端口 号,一旦有入侵者进行端口扫描的时候扫描出22端口,就立马知 道这是进行SSH登录的端口号,因此我们需要修改默认的端口号, 让入侵者即使扫描出端口号也不能立马知道此端口作用。
9
搭建监控系统
可以有效的监视系统与网络,例如Cacti,nagios,zabbix等
10
定期漏洞扫描
每季度进行定期漏洞扫描,将扫描出的漏洞告知与开发人员,并 进行相应的漏洞修复。
11
wk.baidu.com
7
资源参数优化
为防止大并发或服务器被攻击,导致系统资源耗光最终无法响应。 需调整/etc/security/limits.conf将文件打开数调整至适用范围。
8
日志收集与审计
搭建实时日志查询,收集与分析系统。
概述安全运维
安全运维手册
1
防火墙与堡垒机的作用介绍
防火墙:内部网络和外部网络之间的所有网络数据流都必须经过 防火墙,所处网络位置特性的防火墙,同时也是一个前提。因为 只有当防火墙是内、外部网络之间通信的唯一通道,才可以全面、 有效地保护内部网络不受侵害,防止内部信息外泄。
堡垒机:作为维护内部服务器的唯一通道,能有效的管理控制与 审计。
4
Pam加固ssh登陆锁定
可以有效防止突破内网后有针对性的对服务器进行暴力破解。 编辑/etc/pam.d/ssh,第一行加入 auth required pam_tally2.so deny=5 onerr=fail unlock_time=300 ll /lib64/security/pan_tally2.so 此模块的功能是,登陆错误输入密码5次,5分钟后自动解禁,在未解禁
期间输入正确密码也无法登陆。 可执行pam_tally2查看失败次数 可执行pam_tally2 -r -u root重置计数 pam_tally2 计数器日志保存在 /var/log/tallylog
5
记录操作命令及时间
可以记录用户任何时间操作的每一条信息,编辑/etc/profile,增 加内容如下
2
tcp_wrapper的原理与基本过程
Linux服务器中Telnet、SSH、FTP、POP3和SMTP等很多网络服 务都会用到TCP Wrapper,它被设计为一个介于外来服务请求和系 统服务回应的中间处理软件。
当系统接收到一个外来服务请求的时候 ,先由TCP Wrapper处理 这个请求TCP Wrapper根据这个请求所请求的服务和针对这个服 务所定制的存取控制规则来判断对方是否有使用这个服务的权限, 如果有,TCP Wrapper将该请求按照配置文件定义的规则转交给 相应的守护进程去处理同时记录这个请求动作,然后自己就等待 下一个请求的处理。
HISTTIMEFORMAT="[%F %T] " HISTSIZE=5000 HISTFILESIZE=5000 PS1="[\u@\h \t \w]\\$ " export HISTTIMEFORMAT="[%Y.%m.%d %H:%M:%S]“
6
WAF应用防护
功能列表: 支持IP白名单和黑名单功能,直接将黑名单的IP访问拒绝。 支持URL白名单,将不需要过滤的URL进行定义。 支持User-Agent的过滤,匹配自定义规则中的条目,然后进行处理(返回403)。 支持CC攻击防护,单个URL指定时间的访问次数,超过设定值,直接返回403。 支持Cookie过滤,匹配自定义规则中的条目,然后进行处理(返回403)。 支持URL过滤,匹配自定义规则中的条目,如果用户请求的URL包含这些,返回
注:基于xinetd的服务都支持tcp_wrapper
3
修改SSH服务默认端口号
在Linux中,默认的SSH端口号为22,由于这是大家都知道的端口 号,一旦有入侵者进行端口扫描的时候扫描出22端口,就立马知 道这是进行SSH登录的端口号,因此我们需要修改默认的端口号, 让入侵者即使扫描出端口号也不能立马知道此端口作用。
9
搭建监控系统
可以有效的监视系统与网络,例如Cacti,nagios,zabbix等
10
定期漏洞扫描
每季度进行定期漏洞扫描,将扫描出的漏洞告知与开发人员,并 进行相应的漏洞修复。
11
wk.baidu.com