centos入侵步骤 centos7维护到2024年

今天给各位分享centos入侵步骤的知识，其中也会对centos7维护到2024年进行解释，如果能碰巧解决你现在面临的问题，别忘了关注本站，现在开始吧！

Linux——11个步骤教你完美排查服务器是否被入侵

随着开源产品的日益普及，Linux运维工程师如何准确判断服务器是否遭受入侵，显得尤为重要。以下内容结合实践经验，提供几种常见入侵检测方法，适用于CentOS 6.9系统，其他Linux发行版亦可参考。

1.检查日志信息完整性，确保日志未被篡改或清除。

2.查看`/etc/passwd`和`/etc/shadow`文件，确认是否存在新增用户名及密码文件。

3.比对`/etc/passwd`和`/etc/shadow`内容，识别被修改的用户信息。

4.分析`/var/log/lastlog`日志，识别最近成功与不成功的登陆事件。

5.使用`/var/run/utmp`日志文件，查看当前登录用户。

6.查阅`/var/log/wtmp`日志，统计创建以来所有登录用户。

7.通过`/var/log/wtmp`日志，计算所有用户连接时间（小时）。

8.监测异常网络流量，使用`tcpdump`抓包或`iperf`工具分析。

9.检查`/var/log/secure`日志，尝试发现入侵者痕迹。

10.通过`top`命令识别异常进程，查找其对应的执行脚本。

11.确认入侵后，使用`lsof`命令检索被删除文件的相关信息。

当系统文件被删除但仍有进程访问时，通过`lsof`在/proc目录下恢复文件内容成为可能。例如，若`/var/log/secure`被删除：

1.验证`/var/log/secure`已不存在。

2.使用`lsof`查找当前是否有进程访问该文件。

3.通过PID对应信息，在/proc目录下找到文件描述符。

4.从/proc目录中读取文件描述符关联的文件内容，将其恢复至原始位置。

对于日志文件和数据库等应用程序，此方法可有效恢复误删文件，保障系统安全与数据完整。

CentOS上的安全防护软件Selinux详解

selinux简介

SELinux(Security-Enhanced Linux)是美国国家安全局（NSA）对于强制访问控制的实现，是Linux历史上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系，在这种访问控制体系的限制下，进程只能访问那些在他的任务中所需要文件。SELinux默认安装在Fedora和Red Hat Enterprise Linux上，也可以作为其他发行版上容易安装的包得到，2000年以GNU GPL发布，Linux内核2.6版本后集成在内核中

DAC：Discretionary Access Control自由访问控制

MAC：Mandatory Access Control强制访问控制

DAC环境下进程是无束缚的

MAC环境下策略的规则决定控制的严格程度

MAC环境下进程可以被限制的

策略被用来定义被限制的进程能够使用那些资源（文件和端口）

默认情况下，没有被明确允许的行为将被拒绝

selinux的工作类型

selinux一共有四种工作类型

strict：每个进程都受到selinux的控制

targeted：用来保护常见的网络服务，仅有限进程受到selinux控制，系统当中默认设置类型

minimum：这个模式在centos7上，是targeted的修改版，只对选择的网络服务，仅对选中的进程生效

mls：提供mls机制的安全性，国防级别的

selinux安全上下文

传统的linux，一切皆文件，由用户、组、权限来进行访问控制，这当中有很多的缺陷

在selinux中，一切皆对象（进程），有存放在inode的扩展属性域的安全元素所控制其访问

所有文件和端口资源和进程都具备安全标签，这就是安全上下文

安全上下文有五个元素组成

system_u:object_r:admin_home_t:s0

user：role：type：sensitivity：category

user：指示登录系统的用户类型，如root，user_u,system_u,多数本地进程都属于自由进程

role：定义文件，进程和用户的用途，文件：object_r,进程和用户：system_r

type：指定数据类型，规则重定义何种进程类型访问何种文件，target策略基于type实现，多服务功用，public_content_t

sensitivity：限制访问的需要，由组织定义的分层安全级别，如unclassified，secret，top,一个对象有且只有一个sensitivity，分0-15个级别，s0最低，target策略默认使用是s0

category：对于特定组织划分不分层的分类，如FBI secret，NSA secret，一个对象可以有多个category，c0-c1023共1024个分类，target策略不适用category

查看安全上下文

ls Z; ps-Z

期望（默认）上下文：存放在二进制的selinux策略库中

semanage fcontext l查看系统中的默认安全上下文

@font-face{

font-family:宋体;

}@font-face{

font-family: Cambria Math;

}@font-face{

font-family: Calibri;

}@font-face{

font-family:@宋体;

}p.MsoNormal, li.MsoNormal, div.MsoNormal{ margin: 0cm 0cm 0.0001pt; text-align: justify; font-size: 10.5pt; font-family: Calibri,sans-serif;}.MsoChpDefault{ font-family: Calibri,sans-serif;}div.WordSection1{}

selinux策略

对象（object）：所有可以读取的对象，包括文件、目录和进程，端口等

主体：进程称为主题（subject）

selinux中对所有的文件都赋予一个type的文件类型标签，对于所有的进程也赋予各自的一个domain标签。domain标签能够执行的操作由安全策略里定义

当一个subject视图访问一个object，kernel中的粗略执行服务器将检查AVC，在AVC中，subject和object的权限被缓存，查找应用+文件的安全环境，然后根据查询结果允许或拒绝访问

安全策略：定义主体读取对象的规则数据库，规则中记录了那个类型的主体使用了那个方法读取哪一个对象是允许还是拒绝的，并且定义了那种行为是允许或拒绝

设置selinux

配置selinux

selinux是否启用

给文件重新打安全标签

给端口设置安全标签

设定某些操作的布尔型开关

selinux的日志管理

selinux的状态

enforcing：强制，每个受限的进程都必然受限

permissive：允许；每个受限的进程违规操作不会被禁止，但会被记录与审计日志

disabled：禁用，允许任何操作

getenforce：获取selinux当前状态

sestatus：查看selinux状态

setenforce 0|1

0：设置为permissive

1：设置为enforcing

配置文件

/etc/sysconfig/selinux链接文件链接到/etc/selinux/config

/etc/selinux/config

# This file controls the state of SELinux on the system.

# SELINUX= can take one of these three values:

# enforcing SELinux security policy is enforced.

# permissive SELinux prints warnings instead of enforcing.

# disabled SELinux is fully disabled.

SELINUX=enforcing

# SELINUXTYPE= type of policy in use. Possible values are:

# targeted Only targeted network daemons are protected.

# strict Full SELinux protection.

SELINUXTYPE=targeted

SELINUX=enforcing设置selinux的状态

SELINUXTYPE=targeted设置selinux的工作类型

设置selinux也可以在开机的时候设定，在/boot/grub/grub.conf文件内核那一行后面设定selinux的状态selinux=0|1,只要配置文件或内核设定为禁用，最后selinux的状态为禁用

注意：在从disabled状态切换至enforcing或permissive状态需要重启系统，这时候系统会对每一个文件一一重打标签，需要花费一定的时间。

修改selinux的安全标签

给文件重新打安全标签

chcon [OPTION] [-u USER] [-r ROLE] [-l RANGE] [-t TYPE] FILE..

chcon [OPTION] reference=RFILE FILE..

-R：递归打标，对目录而言

例如我想给自己定义的web文档根目录自定义为/htdocs

chcon-R httpd_sys_content_t/htdocs

恢复目录或文件默认的安全上下文

resotrecon [-R]/path/to/somewhere

例如：我又将web的文档根目录改为原来的目录，这时候自定义的目录的标签需要还原

restorecon-R/htdocs

恢复是根据策略库当中的策略进行还原

默认安全上下文查询与修改

semanage来自policycoreutils-python包，有些系统默认没有安装，安装次包即可使用semanage命令

查看默认的安全上下文

semanage fcontext l

添加安全上下文

semanage fcontext-a t httpd_sys_content_t/home/hadoop(/.*)?

restorecon Rv/home/hadoop此步骤一定不能忘记，它从策略库进行还原安全上下文，执行此命令才会生效

删除安全上下文

semanage fcontext d t httpd_sys_content_t/home/hadoop(/.*)?

selinux端口标签

查看端口标签

semanage port-l

添加端口

semanage port-a-t port_label p tcp|udp port

semanage port a-t htt_port_t-p tcp 8080

删除端口

semanage port-d-t port_label-p tcp|udp port

semanage port-d-t htt_port_t-p tcp 8080

修改现有（已存在）端口为新标签

semanage port-m t port_label p tcp|udp port

semanage port m t ssh_port_t p tcp 8080将ssh服务的端口改为8080

selinux布尔值

查看布尔值命令

getsebool [-a] [boolean]

semanage boolean l-C查看修改过的布尔值

设置bool值命令

setsebool [-P] boolean value（on|off|1|0）

setsebool httpd_enable_homedirs on|1开启httpd家目录访问，但不会写入策略库中

setsebool-P httpd_enable_homedirs on|1

修改bool值时后面的值可以对布尔值类型后跟=加值的设置方法

setsebool httpd_enable_homedirs=on

selinux的日志管理

需要安装settroublesshoot*安装此包需要重启系统才能生效，它会将错误日志记录到/var/log/message

grep setroubleshoot/var/log/message

sealer-l UUID

查看安全事件日志说明

sealert-a/var/log/audit/audit.log

扫描并分析日志

yum-y install selinux-policy-devel（centos7）

yum y install selinux-policy-doc（centos6）

mandb| makewhatis需要更新man帮助的数据才能查询

man-k _selinux

例如man httpd_selinux

总结：selinux在安全防护上确实起到了一定的作用，它是在内核层面来工作，往往有许多的漏洞，一旦黑客利用漏洞入侵系统后果不堪设想，还有其操作的繁琐和稳定性的欠缺的导致很多企业不愿意用到selinux，一般都会使用硬件的安全防护设备，所以我们只需要作为了解，知道有这么个东西，如何开关闭及一些简单的操作即可。

如何在 Linux 系统上安装 Suricata 入侵检测系统

由于安全威胁持续不断，配备入侵检测系统(IDS)已成为如今数据中心环境下最重要的要求之一。然而，随着越来越多的服务器将网卡升级到10GB/40GB以太网技术，我们越来越难在大众化硬件上以线速实施计算密集型入侵检测。扩展IDS性能的一个方法就是使用多线程IDS。在这种IDS下，大量耗用CPU资源的深度数据包检查工作负载并行化处理，分成多个并发任务。这种并行化检查机制可以充分发扬多核硬件的优势，轻松扩展IDS的处理能力。这方面的两个知名的开源工具就是Suricata()和Bro()。

我在本教程中将演示如何在Linux服务器上安装和配置Suricata IDS。

在Linux上安装Suricata IDS

不妨用源代码构建Suricata。你先要安装几个所需的依赖项，如下所示。

在Debian、Ubuntu或Linux Mint上安装依赖项

$ sudo apt-get install wget build-essential libpcre3-dev libpcre3-dbg automake autoconf libtool libpcap-dev libnet1-dev libyaml-dev zlib1g-dev libcap-ng-dev libjansson-dev

在CentOS、Fedora或RHEL上安装依赖项

$ sudo yum install wget libpcap-devel libnet-devel pcre-devel gcc-c++ automake autoconf libtool make libyaml-devel zlib-devel file-devel jansson-devel nss-devel

一旦你安装了所有必需的程序包，现在可以安装Suricata了，如下所示。

首先，从下载最新的Suricata源代码，编译代码。截至本文撰稿时，最新版本是2.0.8。

$ wget

$ tar-xvf suricata-2.0.8.tar.gz

$ cd suricata-2.0.8

$./configure--sysconfdir=/etc--localstatedir=/var

这是配置的示例输出结果。

Suricata Configuration:

AF_PACKET support: yes

PF_RING support: no

NFQueue support: no

NFLOG support: no

IPFW support: no

DAG enabled: no

Napatech enabled: no

Unix socket enabled: yes

Detection enabled: yes

libnss support: yes

libnspr support: yes

libjansson support: yes

Prelude support: no

PCRE jit: yes

LUA support: no

libluajit: no

libgeoip: no

Non-bundled htp: no

Old barnyard2 support: no

CUDA enabled: no

现在编译并安装它。

$ make

$ sudo make install

Suricata源代码随带默认的配置文件。不妨安装这些默认的配置文件，如下所示。

$ sudo make install-conf

正如你所知，要是没有IDS规则集，Suricata毫无用处。颇为方便的是，Makefile随带IDS规则安装选项。想安装IDS规则，运行下面这个命令即可。

$ sudo make install-rules

上述规则安装命令会从EmergingThreats.net()安装可用的社区规则集的最新快照，并将它们存储在/etc/suricata/rules下。

首次配置Suricata IDS

现在就可以配置Suricata了。配置文件位于/etc/suricata/suricata.yaml。使用文本编辑工具打开文件，以便编辑。

$ sudo vi/etc/suricata/suricata.yaml

下面是一些基本的设置，供你开始入门。

“default-log-dir”关键字应该指向Suricata日志文件的位置。

default-log-dir:/var/log/suricata/

在“vars”这部分下面，你会找到Suricata使用的几个重要变量。“HOME_NET”应该指向由Suricata检查的本地网络。“!$HOME_NET”(被分配给EXTERNAL_NET)指本地网络以外的任何网络。“XXX_PORTS”表明不同服务所使用的一个或多个端口号。请注意：不管使用哪个端口， Suricata都能自动检测HTTP流量。所以，正确指定HTTP_PORTS变量并不是很重要。

vars:

HOME_NET:"[192.168.122.0/24]"

EXTERNAL_NET:"!$HOME_NET"

HTTP_PORTS:"80"

SHELLCODE_PORTS:"!80"

SSH_PORTS: 22

“host-os-policy”这部分用来防范一些利用操作系统的网络堆栈的行为(比如TCP重组)来规避检测的常见攻击。作为一项应对措施，现代IDS想出了所谓的“基于目标的”检测，检查引擎根据流量的目标操作系统，对检测算法进行微调。因而，如果你知道每个本地主机运行什么操作系统，就可以将该信息提供给Suricata，从而有望提高其检测速度。这时候用到了“host-os-policy“部分。在该例子中，默认的IDS策略是Linux;如果不知道某个IP地址的操作系统信息，Suricata就会运用基于Linux的检查策略。如果捕获到192.168.122.0/28和192.168.122.155的流量，Suricata就会运用基于Windows的检查策略。

host-os-policy:

#这些是Windows机器。

windows: [192.168.122.0/28, 192.168.122.155]

bsd: []

bsd-right: []

old-linux: []

#将Linux作为默认策略。

linux: [0.0.0.0/0]

old-solaris: []

solaris: ["::1"]

hpux10: []

hpux11: []

irix: []

macos: []

vista: []

windows2k3: []

在“threading”这部分下面，你可以为不同的Suricata线程指定CPU亲和性(CPU affinity)。默认情况下，CPU亲和性被禁用(“set-cpu-affinity: no”)，这意味着Suricata线程将被安排在任何可用的CPU核心上。默认情况下，Suricata会为每个CPU核心创建一个“检测”线程。你可以调整这个行为，只要指定“detect-thread-ratio: N”。这会创建N x M个检测线程，其中M是指主机上CPU核心的总数。

threading:

set-cpu-affinity: no

detect-thread-ratio: 1.5

就上述线程设置而言，Suricata会创建1.5 x M个检测线程，其中M是系统上CPU核心的总数。

想了解关于Suricata配置的更多信息，你可以阅读默认的配置文件本身，为了便于理解，加有大量注释。

使用Suricata执行入侵检测

现在可以试着运行Suricata了。在启动它之前，还有一个步骤要完成。

如果你使用pcap捕获模式，强烈建议关闭Suricata侦听的那个网卡上的任何数据包卸载功能(比如LRO/GRO)，因为那些功能可能会干扰数据包实时捕获。

下面介绍如何关闭网络接口eth0上的LRO/GRO：

$ sudo ethtool-K eth0 gro off lro off

请注意：视使用的网卡而定，你可能会看到下列警示信息，可以忽视这个信息。它只是意味着你的网卡不支持LRO。

Cannot change large-receive-offload

Suricata支持多种运行模式。运行模式决定了不同的线程如何用于IDS。下面这个命令列出了所有可用的运行模式。

$ sudo/usr/local/bin/suricata--list-runmodes

Suricata使用的默认运行模式是autofp(代表“自动流绑定负载均衡模式”)。在这种模式下，来自每一路流的数据包被分配给单一的检测线程。流被分配给了未处理数据包数量最少的线程。

最后，不妨启动Suricata，看看它的实际运行情况。

$ sudo/usr/local/bin/suricata-c/etc/suricata/suricata.yaml-i eth0--init-errors-fatal

在这个例子中，我们监控一个8核系统上的网络接口eth0。如上所示，Suricata创建了13个数据包处理线程和3个管理线程。数据包处理线程包括1个PCAP数据包捕获线程和12个检测线程(相当于8 x 1.5)。这意味着，一个捕获线程捕获的数据包经负载均衡处理后，变成了IDS面前的12个检测线程。管理线程是一个流管理器和两个计数器/统计相关线程。

下面是Suricata进程的线程视图(由htop描绘)。

Suricata检测日志存储在/var/log/suricata目录下。

$ tail-f/var/log/suricata/fast.log

04/01/2015-15:47:12.559075 [**] [1:2200074:1] SURICATA TCPv4 invalid checksum [**] [Classification:(null)] [Priority: 3]{TCP} 172.16.253.158:22-> 172.16.253.1:46997

04/01/2015-15:49:06.565901 [**] [1:2200074:1] SURICATA TCPv4 invalid checksum [**] [Classification:(null)] [Priority: 3]{TCP} 172.16.253.158:22-> 172.16.253.1:46317

04/01/2015-15:49:06.566759 [**] [1:2200074:1] SURICATA TCPv4 invalid checksum [**] [Classification:(null)] [Priority: 3]{TCP} 172.16.253.158:22-> 172.16.253.1:46317

为了易于导入，还有JSON格式的日志：

$ tail-f/var/log/suricata/eve.json

{"timestamp":"2015-04-01T15:49:06.565901","event_type":"alert","src_ip":"172.16.253.158","src_port":22,"dest_ip":"172.16.253.1","dest_port":46317,"proto":"TCP","alert":{"action":"allowed","gid":1,"signature_id":2200074,"rev":1,"signature":"SURICATA TCPv4 invalid checksum","category":"","severity":3}}

{"timestamp":"2015-04-01T15:49:06.566759","event_type":"alert","src_ip":"172.16.253.158","src_port":22,"dest_ip":"172.16.253.1","dest_port":46317,"proto":"TCP","alert":{"action":"allowed","gid":1,"signature_id":2200074,"rev":1,"signature":"SURICATA TCPv4 invalid checksum","category":"","severity":3}}