Ce servicii sunt active, sunt toate necesare?
Pentru a vedea serviciile pe care le activăm, puteți utiliza comanda netstat. De exemplu, dintr-o conexiune SSH:
root @ server1: ~ # netstat -aNe arată toate serviciile active și ascultarea pentru a primi utilizatori sau conexiuni, aici vedem câteva like Apache (http) pentru a difuza pagini web, smtp serviciu de trimitere e-mail, ftp pentru a încărca fișiere.
Puteți opri un serviciu dacă este inutil sau dacă ocupă multă memorie sau cpu, pentru aceasta putem vedea consumul cu comanda:
root @ server1: ~ # ps aux --sort cputime
Aici putem vedea Mysql, antivirusul Clamav, Y Porumbar este un server open source IMAP și POP3. Aici putem vedea procesul executat de noi anterior, este important să nu confundăm coloana START care are date și ore, indică la ce dată sau oră a început operațiunea.
Apoi pentru a opri un exemplu de serviciu Mysql:
/etc/init.d/mysql restart /etc/init.d/mysql stop /etc/init.d/mysql startExemplu de utilizare a comenzilor în securitatea serverului Linux, vom folosi câteva comenzi pentru a detecta și preveni un atac de refuz de servicii care sunt cele mai frecvente.
A atac de refuz de serviciu (atac DoS) sau Atacuri de negare a serviciului distribuite (atac DDoS) este o încercare de a face o resursă server indisponibilă pentru utilizatorii săi.
1) Detectează atacul
Principalul simptom este că serverul devine foarte lent sau „serviciile sunt defect”, acestea nu mai funcționează din cauza generării de conexiuni excesive, serverul nu poate răspunde.
Vom folosi comanda „netstat”.
Ne arată conexiunile active pe portul 80.
root @ server1: ~ # netstat -an | grep: 80 | fel
Aici putem vedea că una dintre ip-urile active care interogă serverul nostru are 5000 de conexiuni, în timp ce s-ar putea spune că normalul ar fi de aproximativ 20 sau 30 de conexiuni pe ip. Am putea apoi suspecta un atac DDOS, de la consumul de resurse
2) Primul lucru va fi blocarea ip-ului atacatorului cu Iptables
Iptables este numele instrumentului de spațiu utilizator prin care administratorul poate defini politici de filtrare pentru traficul care circulă în rețea.
root @ server1: ~ # iptables -I INPUT -s 74,6,73,22 -j DROPCu asta se prăbușește.
3) Instalați mod_evasive pentru Apache
Mod evaziv este un modul pentru Apache care este responsabil pentru furnizarea unui nivel suplimentar de securitate serverului nostru web foarte puternic și personalizabil.
În exemplu, o vom face pentru Centos, dar poate fi adaptat la orice Linux cu Apache.
Instalăm dependențe din ssh
root @ server1: ~ # cd / usr / src root @ server1: ~ # wget http://www.zdziarski.com/projects/mod_evasive/mod_evasive_1.10.1.tar.gz root @ server1: ~ # tar zxvf mod_evasive_1.10.1 .tar.gz root @ server1: ~ # cd mod_evasive root @ server1: ~ # apxs -cia mod_evasive20.c # pentru Apache 1.3 comanda ar fi apxs -cia mod_evasive.c root @ server1: ~ # vi / etc / httpd / conf /httpd.conf # edităm configurația rădăcină @ server1: ~ # service httpd restart # restartăm ApacheÎn / etc / httpd / conf /httpd.conf ar trebui adăugate următoarele rânduri.
DOSHashTable Size 3097 DOSPageCount 2 DOSSiteCount 50 DOSPageInterval 1 DOSSiteInterval 1 DOSBlockingPeriod 300Parametri importanți
- DOSPageCount: numărul de conexiuni pe care le poate face un utilizator pe secundă înainte ca adresa IP să fie blocată.
- DOSSiteCount: câte solicitări poate face un utilizator înainte de a fi blocat.
- DOSBlockingPeriod: cât timp în secunde va dura blocarea acelui IP.
