安全是 IT 行業一個老生常談的話題了,從之前的“棱鏡門”事件中折射出了很多安全問題,處理好信息安全問題已變得刻不容緩。
因此做為運維人員,就必須了解一些安全運維準則,同時,要保護自己所負責的業務,首先要站在攻擊者的角度思考問題,修補任何潛在的威脅和漏洞。
本文主要分為如下五部分展開:
- 賬戶和登錄安全
- 遠程訪問和認證安全
- 文件系統安全
- linux 后門入侵檢測工具
- 服務器遭受攻擊后的處理過程
賬戶和登錄安全
賬戶安全是系統安全的第一道屏障,也是系統安全的核心,保障登錄賬戶的安全,在一定程度上可以提高服務器的安全級別,下面重點介紹下 Linux 系統登錄賬戶的安全設置方法。
①刪除特殊的賬戶和賬戶組
Linux 提供了各種不同角色的系統賬號,在系統安裝完成后,默認會安裝很多不必要的用戶和用戶組。
如果不需要某些用戶或者組,就要立即刪除它,因為賬戶越多,系統就越不安全,很可能被黑客利用,進而威脅到服務器的安全。
Linux系統中可以刪除的默認用戶和組大致有如下這些:
可刪除的用戶,如 adm,lp,sync,shutdown,halt,news,uucp,operator,games,gopher 等。
可刪除的組,如 adm,lp,news,uucp,games,dip,pppusers,popusers,slipusers 等。
②關閉系統不需要的服務
Linux 在安裝完成后,綁定了很多沒用的服務,這些服務默認都是自動啟動的。
對于服務器來說,運行的服務越多,系統就越不安全,越少服務在運行,安全性就越好,因此關閉一些不需要的服務,對系統安全有很大的幫助。
具體哪些服務可以關閉,要根據服務器的用途而定,一般情況下,只要系統本身用不到的服務都認為是不必要的服務。
例如:某臺 Linux 服務器用于 www 應用,那么除了 httpd 服務和系統運行是必須的服務外,其他服務都可以關閉。
下面這些服務一般情況下是不需要的,可以選擇關閉:
anacron、auditd、autofs、avahi-daemon、avahi-DNSconfd、bluetooth、cpuspeed、firstboot、gpm、haldaemon、hidd、ip6tables、ipsec、isdn、lpd、mcstrans、messagebus、netfs、nfs、nfslock、nscd、pcscd portmap、readahead_early、restorecond、rpcgssd、rpcidmapd、rstatd、sendmail、setroubleshoot、yppasswdd ypserv
③密碼安全策略
在 Linux 下,遠程登錄系統有兩種認證方式:
- 密碼認證
- 密鑰認證
密碼認證方式是傳統的安全策略,對于密碼的設置,比較普遍的說法是:至少 6 個字符以上,密碼要包含數字、字母、下劃線、特殊符號等。
設置一個相對復雜的密碼,對系統安全能起到一定的防護作用,但是也面臨一些其他問題,例如密碼暴力破解、密碼泄露、密碼丟失等,同時過于復雜的密碼對運維工作也會造成一定的負擔。
密鑰認證是一種新型的認證方式,公用密鑰存儲在遠程服務器上,專用密鑰保存在本地,當需要登錄系統時,通過本地專用密鑰和遠程服務器的公用密鑰進行配對認證,如果認證成功,就成功登錄系統。
這種認證方式避免了被暴力破解的危險,同時只要保存在本地的專用密鑰不被黑客盜用,攻擊者一般無法通過密鑰認證的方式進入系統。
因此,在 Linux 下推薦用密鑰認證方式登錄系統,這樣就可以拋棄密碼認證登錄系統的弊端。
Linux 服務器一般通過 SecureCRT、Putty、Xshell 之類的工具進行遠程維護和管理,密鑰認證方式的實現就是借助于 SecureCRT 軟件和 Linux 系統中的 SSH 服務實現的。
④合理使用 su、sudo 命令
su 命令:是一個切換用戶的工具,經常用于將普通用戶切換到超級用戶下,當然也可以從超級用戶切換到普通用戶。
為了保證服務器的安全,幾乎所有服務器都禁止了超級用戶直接登錄系統,而是通過普通用戶登錄系統,然后再通過 su 命令切換到超級用戶下,執行一些需要超級權限的工作。
通過 su 命令能夠給系統管理帶來一定的方便,但是也存在不安全的因素,例如:系統有 10 個普通用戶,每個用戶都需要執行一些有超級權限的操作,就必須把超級用戶的密碼交給這 10 個普通用戶。
如果這 10 個用戶都有超級權限,通過超級權限可以做任何事,那么會在一定程度上對系統的安全造成了威協。
因此 su 命令在很多人都需要參與的系統管理中,并不是最好的選擇,超級用戶密碼應該掌握在少數人手中,此時 sudo 命令就派上用場了。
sudo 命令:允許系統管理員分配給普通用戶一些合理的“權利”,并且不需要普通用戶知道超級用戶密碼,就能讓他們執行一些只有超級用戶或其他特許用戶才能完成的任務。
比如:系統服務重啟、編輯系統配置文件等,通過這種方式不但能減少超級用戶登錄次數和管理時間,也提高了系統安全性。
因此,sudo 命令相對于權限無限制性的 su 來說,還是比較安全的,所以 sudo 也被稱為受限制的 su,另外 sudo 也是需要事先進行授權認證的,所以也被稱為授權認證的 su。
sudo 執行命令的流程是:將當前用戶切換到超級用戶下,或切換到指定的用戶下,然后以超級用戶或其指定切換到的用戶身份執行命令。
執行完成后,直接退回到當前用戶,而這一切的完成要通過 sudo 的配置文件 /etc/sudoers 來進行授權。
sudo 設計的宗旨是:賦予用戶盡可能少的權限但仍允許它們完成自己的工作,這種設計兼顧了安全性和易用性。
因此,強烈推薦通過 sudo 來管理系統賬號的安全,只允許普通用戶登錄系統,如果這些用戶需要特殊的權限,就通過配置 /etc/sudoers 來完成,這也是多用戶系統下賬號安全管理的基本方式。
⑤刪減系統登錄歡迎信息
系統的一些歡迎信息或版本信息,雖然能給系統管理者帶來一定的方便,但是這些信息有時候可能被黑客利用,成為攻擊服務器的幫兇。
為了保證系統的安全,可以修改或刪除某些系統文件,需要修改或刪除的文件有四個,分別是:
- /etc/issue
- /etc/issue.net
- /etc/redhat-release
- /etc/motd
/etc/issue 和 /etc/issue.net 文件都記錄了操作系統的名稱和版本號,當用戶通過本地終端或本地虛擬控制臺等登錄系統時,/etc/issue 的文件內容就會顯示。
當用戶通過 ssh 或 telnet 等遠程登錄系統時,/etc/issue.net 文件內容就會在登錄后顯示。
在默認情況下 /etc/issue.net 文件的內容是不會在 ssh 登錄后顯示的,要顯示這個信息可以修改 /etc/ssh/sshd_config 文件,在此文件中添加如下內容即可:Banner /etc/issue.net。
其實這些登錄提示很明顯泄漏了系統信息,為了安全起見,建議將此文件中的內容刪除或修改。
/etc/redhat-release 文件也記錄了操作系統的名稱和版本號,為了安全起見,可以將此文件中的內容刪除。
/etc/motd 文件是系統的公告信息。每次用戶登錄后,/etc/motd 文件的內容就會顯示在用戶的終端。
通過這個文件系統,管理員可以發布一些軟件或硬件的升級、系統維護等通告信息,但是此文件的最大作用就是可以發布一些警告信息,當黑客登錄系統后,會發現這些警告信息,進而產生一些震懾作用。
看過國外的一個報道,黑客入侵了一個服務器,而這個服務器卻給出了歡迎登錄的信息,因此法院不做任何裁決。
遠程訪問和認證安全
①遠程登錄取消 telnet 而采用 SSH 方式
telnet 是一種古老的遠程登錄認證服務,它在網絡上用明文傳送口令和數據,因此別有用心的人就會非常容易截獲這些口令和數據。
而且,telnet 服務程序的安全驗證方式也極其脆弱,攻擊者可以輕松將虛假信息傳送給服務器。
現在遠程登錄基本拋棄了 telnet 這種方式,而取而代之的是通過 SSH 服務遠程登錄服務器。
②合理使用 Shell 歷史命令記錄功能
在 Linux 下可通過 history 命令查看用戶所有的歷史操作記錄,同時 shell 命令操作記錄默認保存在用戶目錄下的 .bash_history 文件中。
通過這個文件可以查詢 shell 命令的執行歷史,有助于運維人員進行系統審計和問題排查。
同時,在服務器遭受黑客攻擊后,也可以通過這個命令或文件查詢黑客登錄服務器所執行的歷史命令操作。
但是有時候黑客在入侵服務器后為了毀滅痕跡,可能會刪除 .bash_history 文件,這就需要合理的保護或備份 .bash_history 文件。
③啟用 Tcp_WrAppers 防火墻
Tcp_Wrappers 是一個用來分析 TCP/IP 封包的軟件,類似的 IP 封包軟件還有 iptables。
Linux 默認都安裝了 Tcp_Wrappers。作為一個安全的系統,Linux 本身有兩層安全防火墻,通過 IP 過濾機制的 iptables 實現第一層防護。
iptables 防火墻通過直觀地監視系統的運行狀況,阻擋網絡中的一些惡意攻擊,保護整個系統正常運行,免遭攻擊和破壞。
如果通過了第一層防護,那么下一層防護就是 Tcp_Wrappers 了。通過 Tcp_Wrappers 可以實現對系統中提供的某些服務的開放與關閉、允許和禁止,從而更有效地保證系統安全運行。
文件系統安全
①鎖定系統重要文件
系統運維人員有時候可能會遇到通過 Root 用戶都不能修改或者刪除某個文件的情況,產生這種情況的大部分原因可能是這個文件被鎖定了。
在 Linux 下鎖定文件的命令是 Chattr,通過這個命令可以修改 ext2、ext3、ext4 文件系統下文件屬性,但是這個命令必須有超級用戶 Root 來執行。和這個命令對應的命令是 lsattr,這個命令用來查詢文件屬性。
對重要的文件進行加鎖,雖然能夠提高服務器的安全性,但是也會帶來一些不便。
例如:在軟件的安裝、升級時可能需要去掉有關目錄和文件的 immutable 屬性和 append-only 屬性,同時,對日志文件設置了 append-only 屬性,可能會使日志輪換(logrotate)無法進行。
因此,在使用 Chattr 命令前,需要結合服務器的應用環境來權衡是否需要設置 immutable 屬性和 append-only 屬性。
另外,雖然通過 Chattr 命令修改文件屬性能夠提高文件系統的安全性,但是它并不適合所有的目錄。Chattr 命令不能保護 /、/dev、/tmp、/var 等目錄。
根目錄不能有不可修改屬性,因為如果根目錄具有不可修改屬性,那么系統根本無法工作:
- /dev 在啟動時,syslog 需要刪除并重新建立 /dev/log 套接字設備,如果設置了不可修改屬性,那么可能出問題。
- /tmp 目錄會有很多應用程序和系統程序需要在這個目錄下建立臨時文件,也不能設置不可修改屬性。
- /var 是系統和程序的日志目錄,如果設置為不可修改屬性,那么系統寫日志將無法進行,所以也不能通過 Chattr 命令保護。
②文件權限檢查和修改
不正確的權限設置直接威脅著系統的安全,因此運維人員應該能及時發現這些不正確的權限設置,并立刻修正,防患于未然。下面列舉幾種查找系統不安全權限的方法。
查找系統中任何用戶都有寫權限的文件或目錄:
查找文件:find / -type f -perm -2 -o -perm -20 |xargs ls -al 查找目錄:find / -type d -perm -2 -o -perm -20 |xargs ls –ld
查找系統中所有含“s”位的程序:
find/-typef-perm-4000-o-perm-2000-print|xargsls–al
含有“s”位權限的程序對系統安全威脅很大,通過查找系統中所有具有“s”位權限的程序,可以把某些不必要的“s”位程序去掉,這樣可以防止用戶濫用權限或提升權限的可能性。
檢查系統中所有 suid 及 sgid 文件:
find / -user root -perm -2000 -print -exec md5sum {} ; find / -user root -perm -4000 -print -exec md5sum {} ;
將檢查的結果保存到文件中,可在以后的系統檢查中作為參考。
檢查系統中沒有屬主的文件:
find/-nouser-o–nogroup
沒有屬主的孤兒文件比較危險,往往成為黑客利用的工具,因此找到這些文件后,要么刪除掉,要么修改文件的屬主,使其處于安全狀態。
③/tmp、/var/tmp、/dev/shm 安全設定
在 Linux 系統中,主要有兩個目錄或分區用來存放臨時文件,分別是 /tmp 和 /var/tmp。
存儲臨時文件的目錄或分區有個共同點就是所有用戶可讀寫、可執行,這就為系統留下了安全隱患。
攻擊者可以將病毒或者木馬腳本放到臨時文件的目錄下進行信息收集或偽裝,嚴重影響服務器的安全。
此時,如果修改臨時目錄的讀寫執行權限,還有可能影響系統上應用程序的正常運行,因此,如果要兼顧兩者,就需要對這兩個目錄或分區進行特殊的設置。
/dev/shm 是 Linux 下的一個共享內存設備,在 Linux 啟動的時候系統默認會加載 /dev/shm,被加載的 /dev/shm 使用的是 tmpfs 文件系統,而 tmpfs 是一個內存文件系統,存儲到 tmpfs 文件系統的數據會完全駐留在 RAM 中。
這樣通過 /dev/shm 就可以直接操控系統內存,這將非常危險,因此如何保證 /dev/shm 安全也至關重要。
對于 /tmp 的安全設置,需要看 /tmp 是一個獨立磁盤分區,還是一個根分區下的文件夾。
如果 /tmp 是一個獨立的磁盤分區,那么設置非常簡單,修改 /etc/fstab 文件中 /tmp 分區對應的掛載屬性,加上 nosuid、noexec、nodev 三個選項即可。
修改后的 /tmp 分區掛載屬性類似如下:
LABEL=/tmp/tmpext3rw,nosuid,noexec,nodev00
其中,nosuid、noexec、nodev 選項,表示不允許任何 suid 程序,并且在這個分區不能執行任何腳本等程序,并且不存在設備文件。
在掛載屬性設置完成后,重新掛載 /tmp 分區,保證設置生效。
對于 /var/tmp,如果是獨立分區,安裝 /tmp 的設置方法是修改 /etc/fstab 文件即可。
如果是 /var 分區下的一個目錄,那么可以將 /var/tmp 目錄下所有數據移動到 /tmp 分區下,然后在 /var 下做一個指向 /tmp 的軟連接即可。
也就是執行如下操作:
[root@server ~]# mv /var/tmp/* /tmp [root@server ~]# ln -s /tmp /var/tmp
如果 /tmp 是根目錄下的一個目錄,那么設置稍微復雜,可以通過創建一個 loopback 文件系統來利用 Linux 內核的 loopback 特性將文件系統掛載到 /tmp 下,然后在掛載時指定限制加載選項即可。
一個簡單的操作示例如下:
[root@server ~]# dd if=/dev/zero of=/dev/tmpfs bs=1M count=10000 [root@server ~]# mke2fs -j /dev/tmpfs [root@server ~]# cp -av /tmp /tmp.old [root@server ~]# mount -o loop,noexec,nosuid,rw /dev/tmpfs /tmp [root@server ~]# chmod 1777 /tmp [root@server ~]# mv -f /tmp.old/* /tmp/ [root@server ~]# rm -rf /tmp.old
最后,編輯 /etc/fstab,添加如下內容,以便系統在啟動時自動加載 loopback 文件系統:
/dev/tmpfs/tmpext3loop,nosuid,noexec,rw00
Linux 后門入侵檢測工具
Rootkit 是 Linux 平臺下最常見的一種木馬后門工具,它主要通過替換系統文件來達到入侵和和隱蔽的目的,這種木馬比普通木馬后門更加危險和隱蔽,普通的檢測工具和檢查手段很難發現這種木馬。
Rootkit 攻擊能力極強,對系統的危害很大,它通過一套工具來建立后門和隱藏行跡,從而讓攻擊者保住權限,以使它在任何時候都可以使用 Root 權限登錄到系統。
Rootkit 主要有兩種類型:文件級別和內核級別,下面分別進行簡單介紹。
文件級別的 Rootkit 一般是通過程序漏洞或者系統漏洞進入系統后,通過修改系統的重要文件來達到隱藏自己的目的。
在系統遭受 Rootkit 攻擊后,合法的文件被木馬程序替代,變成了外殼程序,而其內部是隱藏著的后門程序。
通常容易被 Rootkit 替換的系統程序有 login、ls、ps、ifconfig、du、find、netstat 等,其中 login 程序是最經常被替換的。
因為當訪問 Linux 時,無論是通過本地登錄還是遠程登錄,/bin/login 程序都會運行,系統將通過 /bin/login 來收集并核對用戶的賬號和密碼。
而 Rootkit 就是利用這個程序的特點,使用一個帶有根權限后門密碼的 /bin/login 來替換系統的 /bin/login,這樣攻擊者通過輸入設定好的密碼就能輕松進入系統。
此時,即使系統管理員修改 Root 密碼或者清除 Root 密碼,攻擊者還是一樣能通過 Root 用戶登錄系統。
攻擊者通常在進入 Linux 系統后,會進行一系列的攻擊動作,最常見的是安裝嗅探器收集本機或者網絡中其他服務器的重要數據。
在默認情況下,Linux 中也有一些系統文件會監控這些工具動作,例如 ifconfig 命令。
所以,攻擊者為了避免被發現,會想方設法替換其他系統文件,常見的就是 ls、ps、ifconfig、du、find、netstat 等。
如果這些文件都被替換,那么在系統層面就很難發現 Rootkit 已經在系統中運行了。
這就是文件級別的 Rootkit,對系統維護很大,目前最有效的防御方法是定期對系統重要文件的完整性進行檢查。
如果發現文件被修改或者被替換,那么很可能系統已經遭受了 Rootkit 入侵。
檢查文件完整性的工具很多,常見的有 Tripwire、 aide 等,可以通過這些工具定期檢查文件系統的完整性,以檢測系統是否被 Rootkit 入侵。
內核級 Rootkit 是比文件級 Rootkit 更高級的一種入侵方式,它可以使攻擊者獲得對系統底層的完全控制權。
此時攻擊者可以修改系統內核,進而截獲運行程序向內核提交的命令,并將其重定向到入侵者所選擇的程序并運行此程序。
也就是說,當用戶要運行程序 A 時,被入侵者修改過的內核會假裝執行 A 程序,而實際上卻執行了程序 B。
內核級 Rootkit 主要依附在內核上,它并不對系統文件做任何修改,因此一般的檢測工具很難檢測到它的存在,這樣一旦系統內核被植入 Rootkit,攻擊者就可以對系統為所欲為而不被發現。
目前對于內核級的 Rootkit 還沒有很好的防御工具,因此,做好系統安全防范就非常重要,將系統維持在最小權限內工作,只要攻擊者不能獲取 Root 權限,就無法在內核中植入 Rootkit。
①Rootkit 后門檢測工具 Chkrootkit
Chkrootkit 是一個 Linux 系統下查找并檢測 Rootkit 后門的工具,它的官方地址:
http://www.chkrootkit.org/
Chkrootkit 沒有包含在官方的 centos 源中,因此要采取手動編譯的方法來安裝,不過這種安裝方法也更加安全。
Chkrootkit 的使用比較簡單,直接執行 Chkrootkit 命令即可自動開始檢測系統。
下面是某個系統的檢測結果:
[root@server chkrootkit]# /usr/local/chkrootkit/chkrootkit Checking `ifconfig'... INFECTED Checking `ls'... INFECTED Checking `login'... INFECTED Checking `netstat'... INFECTED Checking `ps'... INFECTED Checking `top'... INFECTED Checking `sshd'... not infected Checking `syslogd'... not tested
從輸出可以看出,此系統的 ifconfig、ls、login、netstat、ps 和 top 命令已經被感染。
針對被感染 Rootkit 的系統,最安全而有效的方法就是備份數據重新安裝系統。
Chkrootkit 在檢查 Rootkit 的過程中使用了部分系統命令,因此,如果服務器被黑客入侵,那么依賴的系統命令可能也已經被入侵者替換,此時 Chkrootkit 的檢測結果將變得完全不可信。
為了避免 Chkrootkit 的這個問題,可以在服務器對外開放前,事先將 Chkrootkit 使用的系統命令進行備份,在需要的時候使用備份的原始系統命令讓 Chkrootkit 對 Rootkit 進行檢測。
②Rootkit 后門檢測工具 RKHunter
RKHunter 是一款專業的檢測系統是否感染 Rootkit 的工具,它通過執行一系列的腳本來確認服務器是否已經感染 Rootkit。
在官方的資料中,RKHunter 可以做的事情有:
MD5校驗測試,檢測文件是否有改動,比較系統命令的md5,從而判斷系統命令是否被篡改 檢測rootkit使用的二進制和系統工具文件 檢測特洛伊木馬程序的特征碼 檢測常用程序的文件屬性是否異常 檢測系統相關的測試 檢測隱藏文件 檢測可疑的核心模塊LKM 檢測系統已啟動的監聽端口
在 Linux 終端使用 RKHunter 來檢測,最大的好處在于每項的檢測結果都有不同的顏色顯示,如果是綠色的表示沒有問題,如果是紅色的,那就要引起關注了。
另外,在執行檢測的過程中,在每個部分檢測完成后,需要以 Enter 鍵來繼續。
如果要讓程序自動運行,可以執行如下命令:
[root@server~]#/usr/local/bin/rkhunter--check--skip-keypress
同時,如果想讓檢測程序每天定時運行,那么可以在 /etc/crontab 中加入如下內容:
3009***root/usr/local/bin/rkhunter--check--cronjob
這樣,RKHunter 檢測程序就會在每天的 9:30 分運行一次。
服務器遭受攻擊后的處理過程
安全總是相對的,再安全的服務器也有可能遭受到攻擊。
作為一個安全運維人員,要把握的原則是:盡量做好系統安全防護,修復所有已知的危險行為,同時,在系統遭受攻擊后能夠迅速有效地處理攻擊行為,最大限度地降低攻擊對系統產生的影響。
①處理服務器遭受攻擊的一般思路
系統遭受攻擊并不可怕,可怕的是面對攻擊束手無策,下面就詳細介紹下在服務器遭受攻擊后的一般處理思路。
切斷網絡:所有的攻擊都來自于網絡,因此,在得知系統正遭受黑客的攻擊后,首先要做的就是斷開服務器的網絡連接,這樣除了能切斷攻擊源之外,也能保護服務器所在網絡的其他主機。
查找攻擊源:可以通過分析系統日志或登錄日志文件,查看可疑信息,同時也要查看系統都打開了哪些端口,運行哪些進程,并通過這些進程分析哪些是可疑的程序。
這個過程要根據經驗和綜合判斷能力進行追查和分析。下面會詳細介紹這個過程的處理思路。
分析入侵原因和途徑:既然系統遭到入侵,那么原因是多方面的,可能是系統漏洞,也可能是程序漏洞。
一定要查清楚是哪個原因導致的,并且還要查清楚遭到攻擊的途徑,找到攻擊源,因為只有知道了遭受攻擊的原因和途徑,才能刪除攻擊源同時進行漏洞的修復。
備份用戶數據:在服務器遭受攻擊后,需要立刻備份服務器上的用戶數據,同時也要查看這些數據中是否隱藏著攻擊源。
如果攻擊源在用戶數據中,一定要徹底刪除,然后將用戶數據備份到一個安全的地方。
重新安裝系統:永遠不要認為自己能徹底清除攻擊源,因為沒有人能比黑客更了解攻擊程序。
在服務器遭到攻擊后,最安全也最簡單的方法就是重新安裝系統,因為大部分攻擊程序都會依附在系統文件或者內核中,所以重新安裝系統才能徹底清除攻擊源。
修復程序或系統漏洞:在發現系統漏洞或者應用程序漏洞后,首先要做的就是修復系統漏洞或者更改程序 Bug,因為只有將程序的漏洞修復完畢才能正式在服務器上運行。
恢復數據和連接網絡:將備份的數據重新復制到新安裝的服務器上,然后開啟服務,最后將服務器開啟網絡連接,對外提供服務。
②檢查并鎖定可疑用戶
當發現服務器遭受攻擊后,首先要切斷網絡連接,但是在有些情況下,比如無法馬上切斷網絡連接時,就必須登錄系統查看是否有可疑用戶。
如果有可疑用戶登錄了系統,那么需要馬上將這個用戶鎖定,然后中斷此用戶的遠程連接。
③查看系統日志
查看系統日志是查找攻擊源最好的方法,可查的系統日志有 /var/log/messages、/var/log/secure 等。
這兩個日志文件可以記錄軟件的運行狀態以及遠程用戶的登錄狀態,還可以查看每個用戶目錄下的 .bash_history 文件。
特別是 /root 目錄下的 .bash_history 文件,這個文件中記錄著用戶執行的所有歷史命令。
④檢查并關閉系統可疑進程
檢查可疑進程的命令很多,例如 ps、top 等,但是有時候只知道進程的名稱無法得知路徑,此時可以通過如下命令查看。
首先通過 pidof 命令可以查找正在運行的進程 PID,例如要查找 sshd 進程的 PID。
執行如下命令:
[root@server ~]# pidof sshd 13276 12942 4284
然后進入內存目錄,查看對應 PID 目錄下 exe 文件的信息:
[root@server ~]# ls -al /proc/13276/exe lrwxrwxrwx 1 root root 0 Oct 4 22:09 /proc/13276/exe -> /usr/sbin/sshd
這樣就找到了進程對應的完整執行路徑。如果還要查看文件的句柄,可以查看如下目錄:
[root@server~]#ls-al/proc/13276/fd
通過這種方式基本可以找到任何進程的完整執行信息。
⑤檢查文件系統的完好性
檢查文件屬性是否發生變化是驗證文件系統完好性最簡單、最直接的方法,例如可以檢查被入侵服務器上 /bin/ls 文件的大小是否與正常系統上此文件的大小相同,以驗證文件是否被替換,但是這種方法比較低級。
此時可以借助于 Linux 下 rpm 這個工具來完成驗證,操作如下:
[root@server ~]# rpm -Va ....L... c /etc/pam.d/system-auth S.5..... c /etc/security/limits.conf S.5....T c /etc/sysctl.conf S.5....T /etc/sgml/docbook-simple.cat S.5....T c /etc/login.defs S.5..... c /etc/openldap/ldap.conf S.5....T c /etc/sudoers
⑥重新安裝系統恢復數據
很多情況下,被攻擊過的系統已經不再可信任,因此,最好的方法是將服務器上面數據進行備份,然后重新安裝系統,最后再恢復數據即可。
數據恢復完成,馬上對系統做上面介紹的安全加固策略,保證系統安全。
