安全共享内存

Question 1

安全共享内存

/dev/shm 可用于攻击正在运行的服务，例如httpd。修改/etc/fstab，使其更安全。

打开终端窗口并输入以下内容：

sudo vi /etc/fstab

添加以下行并保存。您需要重新启动才能使此设置生效：

tmpfs     /dev/shm     tmpfs     defaults,noexec,nosuid     0     0

使用 sysctl 设置强化网络

/etc/sysctl.conf 文件包含所有 sysctl 设置。防止传入数据包的源路由并记录格式错误的 IP，在终端窗口中输入以下内容

sudo vi /etc/sysctl.conf

编辑/etc/sysctl.conf文件并取消注释或添加以下行：

# IP Spoofing protection
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1

# Ignore ICMP broadcast requests
net.ipv4.icmp_echo_ignore_broadcasts = 1

# Disable source packet routing
net.ipv4.conf.all.accept_source_route = 0
net.ipv6.conf.all.accept_source_route = 0 
net.ipv4.conf.default.accept_source_route = 0
net.ipv6.conf.default.accept_source_route = 0

# Ignore send redirects
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0

# Block SYN attacks
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 2048
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 5

# Log Martians
net.ipv4.conf.all.log_martians = 1
net.ipv4.icmp_ignore_bogus_error_responses = 1

# Ignore ICMP redirects
net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0 
net.ipv6.conf.default.accept_redirects = 0

# Ignore Directed pings
net.ipv4.icmp_echo_ignore_all = 1

要使用最新更改重新加载 sysctl，请输入：

sudo sysctl -p

防止 IP 欺骗

打开终端并输入以下内容：

sudo vi /etc/host.conf

添加或编辑以下行：

order bind,hosts
nospoof on

强化 PHP 安全性

编辑 php.ini 文件：

sudo vi /etc/php5/apache2/php.ini

添加或编辑以下行：

disable_functions = exec,system,shell_exec,passthru
register_globals = Off
expose_php = Off
magic_quotes_gpc = On

Web 应用程序防火墙 - ModSecurity

http://www.thefanclub.co.za/how-to/how-install-apache2-modsecurity-and-modevasive-ubuntu-1204-lts-server

防范 DDOS（拒绝服务）攻击 - ModEvasive

http://www.thefanclub.co.za/how-to/how-install-apache2-modsecurity-and-modevasive-ubuntu-1204-lts-server

扫描日志并禁止可疑主机 - DenyHosts 和 Fail2Ban

@DenyHosts

DenyHosts 是一个 Python 程序，它通过向 /etc/hosts.deny 添加条目来自动阻止 SSH 攻击。DenyHosts 还会通知 Linux 管理员有关违规主机、受攻击用户和可疑登录的信息。

打开终端并输入以下内容：

sudo apt-get install denyhosts

安装后编辑配置文件/etc/denyhosts.conf 并根据需要更改电子邮件和其他设置。

要编辑管理员电子邮件设置，请打开终端窗口并输入：

sudo vi /etc/denyhosts.conf

根据服务器的需要更改以下值：

ADMIN_EMAIL = root@localhost
SMTP_HOST = localhost
SMTP_PORT = 25
#SMTP_USERNAME=foo
#SMTP_PASSWORD=bar
SMTP_FROM = DenyHosts nobody@localhost
#SYSLOG_REPORT=YES

@Fail2Ban

Fail2ban 比 DenyHosts 更先进，因为它将日志监控扩展到其他服务，包括 SSH、Apache、Courier、FTP 等。

Fail2ban 扫描日志文件并禁止显示恶意迹象的 IP（密码错误次数过多、寻找漏洞等）。

通常，Fail2Ban 随后会用于更新防火墙规则，以在指定的时间内拒绝 IP 地址，尽管也可以配置任何其他操作。开箱即用的 Fail2Ban 附带各种服务（apache、courier、ftp、ssh 等）的过滤器。

打开终端并输入以下内容：

sudo apt-get install fail2ban

安装后编辑配置文件/etc/fail2ban/jail.local 并根据需要创建过滤规则。

要编辑设置，请打开终端窗口并输入：

sudo vi /etc/fail2ban/jail.conf

通过更改来激活您希望 fail2ban 监控的所有服务enabled = false 至*已启用=真*

例如，如果你想启用 SSH 监控和禁止监狱，找到下面的行并将启用从假变为真。就是这样。

[ssh]

enabled  = true
port     = ssh
filter   = sshd
logpath  = /var/log/auth.log
maxretry = 3

如果你想收到来自 Fail2Ban 的电子邮件如果主机被禁止，请将以下行更改为您的电子邮件地址。

destemail = root@localhost

并将以下行从：

action = %(action_)s

到：

action = %(action_mwl)s

你也可以创建规则过滤器对于您希望 fail2ban 监控的各种服务，默认情况下不提供。

sudo vi /etc/fail2ban/jail.local

关于如何配置 fail2ban 和创建各种过滤器的详细说明，可以在这里找到如何锻造-点击此处查看示例

完成 Fail2Ban 的配置后，请使用以下命令重新启动服务：

sudo /etc/init.d/fail2ban restart

您还可以使用以下方式检查状态。

sudo fail2ban-client status

检查rootkit——RKHunter 和 CHKRootKit。

两个都RK猎人和CHKRootkit基本上做同样的事情 - 检查系统中是否存在 rootkit。两者使用都没有坏处。

打开终端并输入以下内容：

sudo apt-get install rkhunter chkrootkit

要运行 chkrootkit，请打开终端窗口并输入：

sudo chkrootkit

要更新并运行 RKHunter。打开终端并输入以下内容

sudo rkhunter --update
sudo rkhunter --propupd
sudo rkhunter --check

扫描开放端口-Nmap

Nmap（“网络映射器”）是一个用于网络发现和安全审计的免费开源实用程序。

打开终端并输入以下内容：

sudo apt-get install nmap

使用以下方法扫描系统中的开放端口：

nmap -v -sT localhost

SYN扫描如下：

sudo nmap -v -sS localhost

分析系统日志文件-LogWatch

Logwatch 是一个可自定义的日志分析系统。Logwatch 会解析您系统的日志并创建一份分析您指定领域的报告。Logwatch 使用起来很简单，在大多数系统上都可以直接从软件包中运行。

打开终端并输入以下内容：

sudo apt-get install logwatch libdate-manip-perl

要查看 logwatch 输出，请使用 less ：

sudo logwatch | less

要将过去 7 天的日志监控报告通过电子邮件发送到电子邮件地址，请输入以下内容并替换[电子邮件保护]并附上所需的电子邮件。：

sudo logwatch --mailto [email protected] --output mail --format html --range 'between -7 days and today'

审计您的系统安全 - Tiger。

Tiger 是一种安全工具，既可以用作安全审计，也可以用作入侵检测系统。

打开终端并输入以下内容：

sudo apt-get install tiger

要运行 tiger，请输入：

sudo tiger

所有 Tiger 输出都可以在 /var/log/tiger 中找到

要查看老虎安全报告，请打开终端并输入以下内容：

sudo less /var/log/tiger/security.report.*

更多帮助

Answer

安全共享内存

/dev/shm 可用于攻击正在运行的服务，例如httpd。修改/etc/fstab，使其更安全。

打开终端窗口并输入以下内容：

sudo vi /etc/fstab

添加以下行并保存。您需要重新启动才能使此设置生效：

tmpfs     /dev/shm     tmpfs     defaults,noexec,nosuid     0     0

使用 sysctl 设置强化网络

/etc/sysctl.conf 文件包含所有 sysctl 设置。防止传入数据包的源路由并记录格式错误的 IP，在终端窗口中输入以下内容

sudo vi /etc/sysctl.conf

编辑/etc/sysctl.conf文件并取消注释或添加以下行：

# IP Spoofing protection
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1

# Ignore ICMP broadcast requests
net.ipv4.icmp_echo_ignore_broadcasts = 1

# Disable source packet routing
net.ipv4.conf.all.accept_source_route = 0
net.ipv6.conf.all.accept_source_route = 0 
net.ipv4.conf.default.accept_source_route = 0
net.ipv6.conf.default.accept_source_route = 0

# Ignore send redirects
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0

# Block SYN attacks
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 2048
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 5

# Log Martians
net.ipv4.conf.all.log_martians = 1
net.ipv4.icmp_ignore_bogus_error_responses = 1

# Ignore ICMP redirects
net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0 
net.ipv6.conf.default.accept_redirects = 0

# Ignore Directed pings
net.ipv4.icmp_echo_ignore_all = 1

要使用最新更改重新加载 sysctl，请输入：

sudo sysctl -p

防止 IP 欺骗

打开终端并输入以下内容：

sudo vi /etc/host.conf

添加或编辑以下行：

order bind,hosts
nospoof on

强化 PHP 安全性

编辑 php.ini 文件：

sudo vi /etc/php5/apache2/php.ini

添加或编辑以下行：

disable_functions = exec,system,shell_exec,passthru
register_globals = Off
expose_php = Off
magic_quotes_gpc = On

Web 应用程序防火墙 - ModSecurity

http://www.thefanclub.co.za/how-to/how-install-apache2-modsecurity-and-modevasive-ubuntu-1204-lts-server

防范 DDOS（拒绝服务）攻击 - ModEvasive

http://www.thefanclub.co.za/how-to/how-install-apache2-modsecurity-and-modevasive-ubuntu-1204-lts-server

扫描日志并禁止可疑主机 - DenyHosts 和 Fail2Ban

@DenyHosts

DenyHosts 是一个 Python 程序，它通过向 /etc/hosts.deny 添加条目来自动阻止 SSH 攻击。DenyHosts 还会通知 Linux 管理员有关违规主机、受攻击用户和可疑登录的信息。

打开终端并输入以下内容：

sudo apt-get install denyhosts

安装后编辑配置文件/etc/denyhosts.conf 并根据需要更改电子邮件和其他设置。

要编辑管理员电子邮件设置，请打开终端窗口并输入：

sudo vi /etc/denyhosts.conf

根据服务器的需要更改以下值：

ADMIN_EMAIL = root@localhost
SMTP_HOST = localhost
SMTP_PORT = 25
#SMTP_USERNAME=foo
#SMTP_PASSWORD=bar
SMTP_FROM = DenyHosts nobody@localhost
#SYSLOG_REPORT=YES

@Fail2Ban

Fail2ban 比 DenyHosts 更先进，因为它将日志监控扩展到其他服务，包括 SSH、Apache、Courier、FTP 等。

Fail2ban 扫描日志文件并禁止显示恶意迹象的 IP（密码错误次数过多、寻找漏洞等）。

通常，Fail2Ban 随后会用于更新防火墙规则，以在指定的时间内拒绝 IP 地址，尽管也可以配置任何其他操作。开箱即用的 Fail2Ban 附带各种服务（apache、courier、ftp、ssh 等）的过滤器。

打开终端并输入以下内容：

sudo apt-get install fail2ban

安装后编辑配置文件/etc/fail2ban/jail.local 并根据需要创建过滤规则。

要编辑设置，请打开终端窗口并输入：

sudo vi /etc/fail2ban/jail.conf

通过更改来激活您希望 fail2ban 监控的所有服务enabled = false 至*已启用=真*

例如，如果你想启用 SSH 监控和禁止监狱，找到下面的行并将启用从假变为真。就是这样。

[ssh]

enabled  = true
port     = ssh
filter   = sshd
logpath  = /var/log/auth.log
maxretry = 3

如果你想收到来自 Fail2Ban 的电子邮件如果主机被禁止，请将以下行更改为您的电子邮件地址。

destemail = root@localhost

并将以下行从：

action = %(action_)s

到：

action = %(action_mwl)s

你也可以创建规则过滤器对于您希望 fail2ban 监控的各种服务，默认情况下不提供。

sudo vi /etc/fail2ban/jail.local

关于如何配置 fail2ban 和创建各种过滤器的详细说明，可以在这里找到如何锻造-点击此处查看示例

完成 Fail2Ban 的配置后，请使用以下命令重新启动服务：

sudo /etc/init.d/fail2ban restart

您还可以使用以下方式检查状态。

sudo fail2ban-client status

检查rootkit——RKHunter 和 CHKRootKit。

两个都RK猎人和CHKRootkit基本上做同样的事情 - 检查系统中是否存在 rootkit。两者使用都没有坏处。

打开终端并输入以下内容：

sudo apt-get install rkhunter chkrootkit

要运行 chkrootkit，请打开终端窗口并输入：

sudo chkrootkit

要更新并运行 RKHunter。打开终端并输入以下内容

sudo rkhunter --update
sudo rkhunter --propupd
sudo rkhunter --check

扫描开放端口-Nmap

Nmap（“网络映射器”）是一个用于网络发现和安全审计的免费开源实用程序。

打开终端并输入以下内容：

sudo apt-get install nmap

使用以下方法扫描系统中的开放端口：

nmap -v -sT localhost

SYN扫描如下：

sudo nmap -v -sS localhost

分析系统日志文件-LogWatch

Logwatch 是一个可自定义的日志分析系统。Logwatch 会解析您系统的日志并创建一份分析您指定领域的报告。Logwatch 使用起来很简单，在大多数系统上都可以直接从软件包中运行。

打开终端并输入以下内容：

sudo apt-get install logwatch libdate-manip-perl

要查看 logwatch 输出，请使用 less ：

sudo logwatch | less

要将过去 7 天的日志监控报告通过电子邮件发送到电子邮件地址，请输入以下内容并替换[电子邮件保护]并附上所需的电子邮件。：

sudo logwatch --mailto [email protected] --output mail --format html --range 'between -7 days and today'

审计您的系统安全 - Tiger。

Tiger 是一种安全工具，既可以用作安全审计，也可以用作入侵检测系统。

打开终端并输入以下内容：

sudo apt-get install tiger

要运行 tiger，请输入：

sudo tiger

所有 Tiger 输出都可以在 /var/log/tiger 中找到

要查看老虎安全报告，请打开终端并输入以下内容：

sudo less /var/log/tiger/security.report.*

更多帮助

Question 2

Ubuntu 默认情况下非常安全，SSH 也是如此。

最重要的是：

不要为你的用户使用弱密码，因为12345或者键盘...
不要激活root账户
使用Fail2ban或所有类似的软件，以避免暴力登录
检查你的日志定期检查是否一切正常
仅在服务器上安装您需要的内容并仔细配置它，我的意思是真正深入阅读您使用的每个软件的文档，特别是邮件服务器。

如果你这样玩应该没问题。哦，当然，定期进行备份 :)

Answer

Ubuntu 默认情况下非常安全，SSH 也是如此。

最重要的是：

不要为你的用户使用弱密码，因为12345或者键盘...
不要激活root账户
使用Fail2ban或所有类似的软件，以避免暴力登录
检查你的日志定期检查是否一切正常
仅在服务器上安装您需要的内容并仔细配置它，我的意思是真正深入阅读您使用的每个软件的文档，特别是邮件服务器。

如果你这样玩应该没问题。哦，当然，定期进行备份 :)

安全共享内存

答案1

安全共享内存

使用 sysctl 设置强化网络

防止 IP 欺骗

强化 PHP 安全性

Web 应用程序防火墙 - ModSecurity

防范 DDOS（拒绝服务）攻击 - ModEvasive

扫描日志并禁止可疑主机 - DenyHosts 和 Fail2Ban

@DenyHosts

@Fail2Ban

检查rootkit——RKHunter 和 CHKRootKit。

扫描开放端口-Nmap

分析系统日志文件-LogWatch

审计您的系统安全 - Tiger。

答案2

相关内容