入侵centos centos7维护到2024年

本篇文章给大家谈谈入侵centos，以及centos7维护到2024年对应的知识点，文章可能有点长，但是希望大家可以阅读完，增长自己的知识，最重要的是希望对各位有所帮助，可以解决了您的问题，不要忘了收藏本站喔。

CentOS上的安全防护软件Selinux详解

selinux简介

SELinux(Security-Enhanced Linux)是美国国家安全局（NSA）对于强制访问控制的实现，是Linux历史上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系，在这种访问控制体系的限制下，进程只能访问那些在他的任务中所需要文件。SELinux默认安装在Fedora和Red Hat Enterprise Linux上，也可以作为其他发行版上容易安装的包得到，2000年以GNU GPL发布，Linux内核2.6版本后集成在内核中

DAC：Discretionary Access Control自由访问控制

MAC：Mandatory Access Control强制访问控制

DAC环境下进程是无束缚的

MAC环境下策略的规则决定控制的严格程度

MAC环境下进程可以被限制的

策略被用来定义被限制的进程能够使用那些资源（文件和端口）

默认情况下，没有被明确允许的行为将被拒绝

selinux的工作类型

selinux一共有四种工作类型

strict：每个进程都受到selinux的控制

targeted：用来保护常见的网络服务，仅有限进程受到selinux控制，系统当中默认设置类型

minimum：这个模式在centos7上，是targeted的修改版，只对选择的网络服务，仅对选中的进程生效

mls：提供mls机制的安全性，国防级别的

selinux安全上下文

传统的linux，一切皆文件，由用户、组、权限来进行访问控制，这当中有很多的缺陷

在selinux中，一切皆对象（进程），有存放在inode的扩展属性域的安全元素所控制其访问

所有文件和端口资源和进程都具备安全标签，这就是安全上下文

安全上下文有五个元素组成

system_u:object_r:admin_home_t:s0

user：role：type：sensitivity：category

user：指示登录系统的用户类型，如root，user_u,system_u,多数本地进程都属于自由进程

role：定义文件，进程和用户的用途，文件：object_r,进程和用户：system_r

type：指定数据类型，规则重定义何种进程类型访问何种文件，target策略基于type实现，多服务功用，public_content_t

sensitivity：限制访问的需要，由组织定义的分层安全级别，如unclassified，secret，top,一个对象有且只有一个sensitivity，分0-15个级别，s0最低，target策略默认使用是s0

category：对于特定组织划分不分层的分类，如FBI secret，NSA secret，一个对象可以有多个category，c0-c1023共1024个分类，target策略不适用category

查看安全上下文

ls Z; ps-Z

期望（默认）上下文：存放在二进制的selinux策略库中

semanage fcontext l查看系统中的默认安全上下文

@font-face{

font-family:宋体;

}@font-face{

font-family: Cambria Math;

}@font-face{

font-family: Calibri;

}@font-face{

font-family:@宋体;

}p.MsoNormal, li.MsoNormal, div.MsoNormal{ margin: 0cm 0cm 0.0001pt; text-align: justify; font-size: 10.5pt; font-family: Calibri,sans-serif;}.MsoChpDefault{ font-family: Calibri,sans-serif;}div.WordSection1{}

selinux策略

对象（object）：所有可以读取的对象，包括文件、目录和进程，端口等

主体：进程称为主题（subject）

selinux中对所有的文件都赋予一个type的文件类型标签，对于所有的进程也赋予各自的一个domain标签。domain标签能够执行的操作由安全策略里定义

当一个subject视图访问一个object，kernel中的粗略执行服务器将检查AVC，在AVC中，subject和object的权限被缓存，查找应用+文件的安全环境，然后根据查询结果允许或拒绝访问

安全策略：定义主体读取对象的规则数据库，规则中记录了那个类型的主体使用了那个方法读取哪一个对象是允许还是拒绝的，并且定义了那种行为是允许或拒绝

设置selinux

配置selinux

selinux是否启用

给文件重新打安全标签

给端口设置安全标签

设定某些操作的布尔型开关

selinux的日志管理

selinux的状态

enforcing：强制，每个受限的进程都必然受限

permissive：允许；每个受限的进程违规操作不会被禁止，但会被记录与审计日志

disabled：禁用，允许任何操作

getenforce：获取selinux当前状态

sestatus：查看selinux状态

setenforce 0|1

0：设置为permissive

1：设置为enforcing

配置文件

/etc/sysconfig/selinux链接文件链接到/etc/selinux/config

/etc/selinux/config

# This file controls the state of SELinux on the system.

# SELINUX= can take one of these three values:

# enforcing SELinux security policy is enforced.

# permissive SELinux prints warnings instead of enforcing.

# disabled SELinux is fully disabled.

SELINUX=enforcing

# SELINUXTYPE= type of policy in use. Possible values are:

# targeted Only targeted network daemons are protected.

# strict Full SELinux protection.

SELINUXTYPE=targeted

SELINUX=enforcing设置selinux的状态

SELINUXTYPE=targeted设置selinux的工作类型

设置selinux也可以在开机的时候设定，在/boot/grub/grub.conf文件内核那一行后面设定selinux的状态selinux=0|1,只要配置文件或内核设定为禁用，最后selinux的状态为禁用

注意：在从disabled状态切换至enforcing或permissive状态需要重启系统，这时候系统会对每一个文件一一重打标签，需要花费一定的时间。

修改selinux的安全标签

给文件重新打安全标签

chcon [OPTION] [-u USER] [-r ROLE] [-l RANGE] [-t TYPE] FILE..

chcon [OPTION] reference=RFILE FILE..

-R：递归打标，对目录而言

例如我想给自己定义的web文档根目录自定义为/htdocs

chcon-R httpd_sys_content_t/htdocs

恢复目录或文件默认的安全上下文

resotrecon [-R]/path/to/somewhere

例如：我又将web的文档根目录改为原来的目录，这时候自定义的目录的标签需要还原

restorecon-R/htdocs

恢复是根据策略库当中的策略进行还原

默认安全上下文查询与修改

semanage来自policycoreutils-python包，有些系统默认没有安装，安装次包即可使用semanage命令

查看默认的安全上下文

semanage fcontext l

添加安全上下文

semanage fcontext-a t httpd_sys_content_t/home/hadoop(/.*)?

restorecon Rv/home/hadoop此步骤一定不能忘记，它从策略库进行还原安全上下文，执行此命令才会生效

删除安全上下文

semanage fcontext d t httpd_sys_content_t/home/hadoop(/.*)?

selinux端口标签

查看端口标签

semanage port-l

添加端口

semanage port-a-t port_label p tcp|udp port

semanage port a-t htt_port_t-p tcp 8080

删除端口

semanage port-d-t port_label-p tcp|udp port

semanage port-d-t htt_port_t-p tcp 8080

修改现有（已存在）端口为新标签

semanage port-m t port_label p tcp|udp port

semanage port m t ssh_port_t p tcp 8080将ssh服务的端口改为8080

selinux布尔值

查看布尔值命令

getsebool [-a] [boolean]

semanage boolean l-C查看修改过的布尔值

设置bool值命令

setsebool [-P] boolean value（on|off|1|0）

setsebool httpd_enable_homedirs on|1开启httpd家目录访问，但不会写入策略库中

setsebool-P httpd_enable_homedirs on|1

修改bool值时后面的值可以对布尔值类型后跟=加值的设置方法

setsebool httpd_enable_homedirs=on

selinux的日志管理

需要安装settroublesshoot*安装此包需要重启系统才能生效，它会将错误日志记录到/var/log/message

grep setroubleshoot/var/log/message

sealer-l UUID

查看安全事件日志说明

sealert-a/var/log/audit/audit.log

扫描并分析日志

yum-y install selinux-policy-devel（centos7）

yum y install selinux-policy-doc（centos6）

mandb| makewhatis需要更新man帮助的数据才能查询

man-k _selinux

例如man httpd_selinux

总结：selinux在安全防护上确实起到了一定的作用，它是在内核层面来工作，往往有许多的漏洞，一旦黑客利用漏洞入侵系统后果不堪设想，还有其操作的繁琐和稳定性的欠缺的导致很多企业不愿意用到selinux，一般都会使用硬件的安全防护设备，所以我们只需要作为了解，知道有这么个东西，如何开关闭及一些简单的操作即可。

在CentOS系统上安装开源杀毒软件ClamAV

ClamAV是一款由Sourcefire组织开发的开源杀毒引擎，Sourcefire同时也是Snort入侵检测引擎的所有者。ClamAV提供了一种更为快速灵活的框架用以检测恶意代码和软件产品。可以作为现有的台式机、文件服务器、邮件服务器以及其他需要杀毒扫描软件场景中杀毒扫描软件的补充工具或者替代产品。另外ClamAV程序包中还包含了libclamav库以及命令行可执行文件接口。同时也提供了freshclam命令行工具用以保证特征库的更新。

Clam AntiVirus（ClamAV）是免费而且开放源代码的防毒软件，软件与病毒码的的更新皆由社群免费发布。目前ClamAV主要是使用在由Linux、FreeBSD等Unix-like系统架设的邮件服务器上，提供电子邮件的病毒扫描服务。ClamAV本身是在文字接口下运作，但也有许多图形接口的前端工具可用，另外由于其开放源代码的特性，在Windows与Mac OS X平台都有其移植版。

下面来看一下CentOS上ClamAV的安装：

1、去现在安装包

复制代码代码如下:

wget

wget

wget

2、安装

复制代码代码如下:

rpm-ivh clamav-db-0.98-2.el6.rf.x86_64.rpm

rpm-ivh clamav-0.98-2.el6.rf.x86_64.rpm

rpm-ivh clamd-0.98-2.el6.rf.x86_64.rpm

3、启动服务

复制代码代码如下:

Service clamd start

4、更新病毒库

复制代码代码如下:

freshclam

5、扫描

扫描某个目录，

复制代码代码如下:clamscan-r/home/oicqzone

将扫描结果存放到log中，

复制代码代码如下:clamscan-r/home/oicqzone-l/tmp/clamav.log

扫描过程中，只显示有问题的文件并且发出警报声音，

复制代码代码如下:clamscan-r--bell-i/home/oicqzone

扫描到有问题的文件，直接删除，

复制代码代码如下:clamscan-r--remove/home/oicqzone，这一步要小心，最好不要这样操作，小心删除系统文件导致系统崩溃

当clamAV扫描完所有文件的时候，会显示如下的类似报告

----------- SCAN SUMMARY-----------

Known viruses: 33840

Scanned directories: 145

Scanned files: 226

Infected files: 1

Data scanned: 54.22 MB

I/O buffer size: 131072 bytes

Time: 20.831 sec(0 m 20 s)

ClamAV只会去扫描对于ClamAV可以读取的文件。果您想扫描所有文件，在命令前加上 sudo.

使ClamAV以daemon防护的方式运行

安装clamav-daemon就可以了，clamav-daemon将会建立一个名为'clamav'的帐户，这是为了可以使ClamAV扫描一些系统文件，比如您的Email存放的地方，您可以添加'clamav'为这些文件或者目录的所有者。

如何知道更多的参数

使用

复制代码代码如下:man clamscan.

如何使ClamAV按计划自动运行

您可以使用'at'命令来使clamscan和freshclam运行，比如

复制代码代码如下:

at 3:30 tomorrow

at>clamscan-i/home/user> mail user@example.com

at>

job 3 at 2005-04-28 03:30

或者编辑/etc/crontab加入以下内容

复制代码代码如下:

0 3*** root/usr/bin/freshclam--quiet-l/var/log/clamav/clamav.log＃＃每天3点升级

阿里云centos服务器长期cpu100%,无法通过top、ps等命

遭受长期CPU占用率100%问题的困扰，最终发现是挖矿木马作祟。清除木马后，新的模式出现，导致问题依然存在。经过排查，确定问题源于挖矿木马。

使用Centos7系统时，重启后CPU占用率突然升至100%，但使用top、atop和htop命令无法查找到具体进程。通过netstat命令，发现有进程使用了192.168.1.209的IP地址，指向了矿池地址。

在检查系统目录时，发现在/lib/udev/rules.c目录下有一个创建时间与病毒发作时间相符的目录，其中包含4个文件：md、mdx、re和y。通过进一步分析，发现md文件是挖矿程序，y文件是启动注入程序。

y文件内容显示，程序执行了一系列操作，如清空历史记录、修改系统路径、添加预加载库、以及执行挖矿程序md，形成持续挖矿循环。此程序尝试通过多个矿池地址进行挖矿。

病毒将挖矿相关文件拷贝至/usr/local/lib/目录，并修改/etc/ld.so.preload文件以确保程序在启动时自动加载。通过执行特定命令删除病毒文件并恢复系统权限，使用iptables阻止网络连接，以及kill掉病毒进程，最终解决了问题。

通过这次经历，可以总结出，对于此类病毒，关键在于准确识别病毒文件，清理预加载库的添加，以及恢复系统的正常运行状态。同时，应持续监控系统，以防止病毒再次入侵。