• Linux安全出版


    一.使用密钥登录

    1.先sudo su -s 切换到root

    2.生成秘钥对

    root@ubuntu:~# ssh-keygen   命令

    Generating public/private rsa key pair.

    Enter file in which to save the key (/root/.ssh/id_rsa): <== 按 Enter

    Created directory '/root/.ssh'.

    Enter passphrase (empty for no passphrase): 直接按 Enter 留空

    Enter same passphrase again: <== 回车

    Your identification has been saved in /root/.ssh/id_rsa. <== 私钥

    Your public key has been saved in /root/.ssh/id_rsa.pub. <== 公钥

    The key fingerprint is:

    0f:d3:e7:1a:1c:bd:5c:03:f1:19:f1:22:df:9b:cc:08 root@host

     

    cd  /root/.ssh/导出id_rsa   一定先导入密钥再执行下面操作

    3.服务器安装公钥

    cd /root/.ssh/ 

    cat id_rsa.pub >> authorized_keys

    chmod 600 authorized_keys

    chmod 700 /root/.ssh/

     

    4.设置ssh,密钥登录

    vim /etc/ssh/sshd_config  修改下面配置

    PermitRootLogin yes

    PasswordAuthentication no

     

    重启sshd

    service ssh restart

     

    退出shell,使用root加密钥登录

    二.数据库安全

    2.1数据库软口令

    face1.5.0以前的数据库默认密码为123456,会轻易被破解。这里介绍修改数据库登录密码的方法

    cat change_postgres_passwd.sh

    #!/bin/bash

    read -p "Please input your new password:" c

    Passwd=$c

    ###.json###

    sed -i "s/123456/${Passwd}/g" /home/dell/face/thor/latest/thor.json

    sed -i "s/123456/${Passwd}/g" /home/dell/face/loki/latest/config/production.json

    sed -i "s/123456/${Passwd}/g" /home/dell/face/loki/latest/config/default.json

    sed -i "s/123456/${Passwd}/g" /home/dell/face/face-api/latest/config.json

    ###.txt###

    sed -i "s/123456/${Passwd}/g" /home/dell/face/croatia/latest/config/croatia_config.txt

    sed -i "s/123456/${Passwd}/g" /home/dell/face/bingo/latest/tmp/bingoconfig_white.txt

    sed -i "s/123456/${Passwd}/g" /home/dell/face/bingo/latest/tmp/bingoconfig.txt

    ###登录数据库修改密码

    sudo -u postgres psql  -U postgres -w -c "alter user postgres with password '${Passwd}'"

    supervisorctl restart all

    bash chang_postgres_passwd.sh   //输入你的密码

    上面的脚本可以修改face1.4.2的数据库密码,密码应有特殊字符,字母大小写和数字

    2.2数据库访问授权限制

    在pg_hba.conf文件中,每条记录占一行,指定一条访问认证规则。

    总的来说访问控制记录大致有以下7种形式:

    local      database  user  auth-method  [auth-options]

    host       database  user  address  auth-method  [auth-options]

    hostssl    database  user  address  auth-method  [auth-options]

    hostnossl  database  user  address  auth-method  [auth-options]

    host       database  user  IP-address  IP-mask  auth-method  [auth-options]

    hostssl    database  user  IP-address  IP-mask  auth-method  [auth-options]

    hostnossl  database  user  IP-address  IP-mask  auth-method  [auth-options]

    连接方式(type)

    连接方式有四种:local 、host、hostssl、hostnossl

    local

    这条记录匹配通过 Unix 域套接字进行的联接企图, 没有这种类型的记录,就不允许 Unix 域套接字的联接。

    host

    这条记录匹配通过TCP/IP网络进行的联接尝试.他既匹配通过ssl方式的连接,也匹配通过非ssl方式的连接。

    注意:要使用该选项你要在postgresql.conf文件里设置listen_address选项,不在listen_address里的IP地址是无法匹配到的。因为默认的行为是只在localhost上监听本地连接。

    hostssl

    这条记录匹配通过在TCP/IP上进行的SSL联接企图。

    要使用该选项,服务器编译时必须使用--with-openssl选项,并且在服务器启动时ssl设置是打开的

    hostnossl

    这个和上面的hostssl相反,只匹配通过在TCP/IP上进行的非SSL联接企图。


    数据库(database)

    声明记录所匹配的数据库。

    值 all 表明该记录匹配所有数据库;

    值 sameuser表示如果被请求的数据库和请求的用户同名,则匹配;

    值samegroup 表示请求的用户必须是一个与数据库同名的组中的成员;

    值 replication 表示匹配一条replication连接,它不指定一个特定的数据库,一般在流复制中使用;

    在其他情况里,这就是一个特定的 PostgreSQL 数据库的名字。 我们可以通过用逗号分隔的方法声明多个数据库。 一个包含数据库名的文件可以通过对该文件前缀 @ 来声明.该文件必需和 pg_hba.conf 在同一个目录。

    用户名(user)

    为这条记录声明所匹配的 PostgreSQL 用户,值 all 表明它匹配 于所有用户。否则,它就是特定 PostgreSQL 用户的名字,多个用户名可以通过用逗号分隔的方法声明,在名字前面加上+代表匹配该用户组的所有用户。一个包含用户名的文件可以 通过在文件名前面前缀 @ 来声明,该文件必需和 pg_hba.conf 在同一个目录。

    主机地址(address)

    指定匹配的客户端的地址,它可以是一个主机名,一个IP地址范围,或者下面提到的这些选项。

    一个IP地址范围是一个标准的点分十进制表示的 IP地址/掩码值。注意, 在'IP地址','/'和'掩码值'之间不要有任何的空白字符。

    比如对于IPv4地址来说, 192.168.2.66/32指定单个主机的IP,192.168.2.0/24代表一个小的子网。对于IPv6地址来说,::1/128指定单个主机(这里是本机环回地址),fe80::7a31:c1ff:0000:0000/96 指定一个IPv6的子网。0.0.0.0/0代表所有IPv4地址,::0/0代表所有IPv6地址。

    一个IPv4地址选项只能匹配IPv4地址,一个IPv6地址选项只能匹配IPv6地址,即使给出的地址选项在IPV4和IPv6中同时存在。

    当然你可以使用 all 选项来匹配所有的IP地址,使用 samehost 匹配服务器自己所有的IP地址,samenet来匹配服务器直接接入的子网。

    如果指定的是主机名(既不是IP地址也不是上面提到的选项),这个主机名将会和发起连接请求的客户端的IP地址的反向名称解析结果(即通过客户端的IP解析其主机名,比如使用反向DNS查找)进行比对,如果存在匹配,再使用正向名称解析(例如DNS查找)将主机名解析为IP地址(可能有多个IP地址),再判断客户端的IP地址是否在这些IP地址中。如果正向和反向解析都成功匹配,那么就真正匹配这个地址(所以在pg_nba.conf文件里的主机地址必须是客户端IP的 address-to-name 解析返回的那个主机名。一些主机名数据库允许将一个IP地址和多个主机名绑定,但是在解析IP地址时,操作系统只会返回一个主机名)。

    有些主机名以点(.)开头,匹配那些具有相同后缀的主机名,比如.example.com匹配foo.example.com(当然不仅仅只匹配foo.example.com)。

    还有,在pg_hba.conf文件中使用主机名的时候,你最好能保证主机名的解析比较快,一个好的建议就是建立一个本地的域名解析缓存(比如nscd)。

    本选项只能在连接方式是host,hostssl或者hostnossl的时候指定。


    ip地址(ip-address)、子网掩码(ip-mask)

    这两个字段包含可以看成是标准点分十进制表示的 IP地址/掩码值的一个替代。例如。使用255.255.255.0 代表一个24位的子网掩码。它们俩放在一起,声明了这条记录匹配的客户机的 IP 地址或者一个IP地址范围。本选项只能在连接方式是host,hostssl或者hostnossl的时候指定。

    认证方法(authentication method)

    trust

    无条件地允许联接,这个方法允许任何可以与PostgreSQL 数据库联接的用户以他们期望的任意 PostgreSQL 数据库用户身份进行联接,而不需要口令。

    reject

    联接无条件拒绝,常用于从一个组中"过滤"某些主机。

    md5

    要求客户端提供一个 MD5 加密的口令进行认证,这个方法是允许加密口令存储在pg_shadow里的唯一的一个方法。

    password

    和"md5"一样,但是口令是以明文形式在网络上传递的,我们不应该在不安全的网络上使用这个方式。

    gss

    使用GSSAPI认证用户,这只适用于 TCP/IP 连接。

    sspi

    使用SSPI认证用户,这只适用于 Windows 连接。

    peer

    获取客户端的操作系统的用户名并判断他是否匹配请求的数据库名,这只适用于本地连接。

    ldap

    使用LDAP服务进行验证。

    radius

    使用RADIUS服务进行验证。

    cert

    使用SSL服务进行验证。

    pam

    使用操作系统提供的可插入的认证模块服务 (Pluggable Authentication Modules)(PAM)来认证。

    注意:防止数据库被恶心修改配置文件,需对pg_hba.conf加i锁

    chattr +i /etc/postgresql/9.6/main/pg_hba.conf  #禁止任何人修改数据库认证文件

    chattr +a  /data/postgresql   #禁止任何人修改数据目录权限

    2.3数据库防火墙配置

    192.168.2.0/24表示一个网段

    ufw allow from 192.168.2.0/24 to any port 5432

    三、redis安全

    1.口令登录

    vim /home/dell/gas/redis/latest/conf/redis.conf

    #包含通用配置 

    include  conf/redis-common.conf

    #绑定IP

    bind 0.0.0.0

    #监听tcp端口 

    port 6379

    #最大可用内存 

    maxmemory 4g

    #内存耗尽时采用的淘汰策略: 

    # volatile-lru -> remove the key with an expire set using an LRU algorithm 

    # allkeys-lru -> remove any key accordingly to the LRU algorithm 

    # volatile-random -> remove a random key with an expire set 

    # allkeys-random -> remove a random key, any key 

    # volatile-ttl -> remove the key with the nearest expire time (minor TTL) 

    # noeviction -> don't expire at all, just return an error on write operations 

    maxmemory-policy volatile-lru

    #aof存储文件 

    #appendfilename "appendonly-6379.aof" 

    #rdb文件,只用于动态添加slave过程 

    #dbfilename dump-6379.rdb 

    #cluster配置文件(启动自动生成) 

    cluster-config-file nodes-6379.conf

    #部署在同一机器的redis实例,把<span style="font-size: 1em; line-height: 1.5;">auto-aof-rewrite搓开,防止瞬间fork所有redis进程做rewrite,占用大量内存</span> 

    #auto-aof-rewrite-percentage 80-100

    appendonly no

    #save 900 1

    rename-command FLUSHALL ""  

    requirepass asgard@1939  //设置redis认证,目前不支持,需要研发提供对应的服务

    2.2避免端口暴露在网络中

    vim /home/dell/gas/redis/latest/conf/redis.conf

    #包含通用配置 

    include  conf/redis-common.conf

    #绑定IP

    bind 127.0.0.1 //注意修改了监听IP后,程序中的连接redis IP也需要修改,如arcee,thor,supmylo等

    #监听tcp端口 

    port 6379

    #最大可用内存 

    maxmemory 4g

    #内存耗尽时采用的淘汰策略: 

    # volatile-lru -> remove the key with an expire set using an LRU algorithm 

    # allkeys-lru -> remove any key accordingly to the LRU algorithm 

    # volatile-random -> remove a random key with an expire set 

    # allkeys-random -> remove a random key, any key 

    # volatile-ttl -> remove the key with the nearest expire time (minor TTL) 

    # noeviction -> don't expire at all, just return an error on write operations 

    maxmemory-policy volatile-lru

    #aof存储文件 

    #appendfilename "appendonly-6379.aof" 

    #rdb文件,只用于动态添加slave过程 

    #dbfilename dump-6379.rdb 

    #cluster配置文件(启动自动生成) 

    cluster-config-file nodes-6379.conf

    #部署在同一机器的redis实例,把<span style="font-size: 1em; line-height: 1.5;">auto-aof-rewrite搓开,防止瞬间fork所有redis进程做rewrite,占用大量内存</span> 

    #auto-aof-rewrite-percentage 80-100

    appendonly no

    #save 900 1

    rename-command FLUSHALL ""  

    requirepass asgard@1939

    2.3 重命名关键命令进行加固


    由于redis没有做基本的权限分离,没有管理账号、普通账户之分,所以登录之后无操作权限限制,因此需要将一些危险的操作隐藏起来,涉及的命令包括:
    FLUSHDB, FLUSHALL, KEYS, PEXPIRE, DEL, CONFIG, SHUTDOWN, BGREWRITEAOF, BGSAVE, SAVE, SPOP, SREM, RENAME, DEBUG, EVAL

    修改redis.conf,添加下列命令,禁用高危命令

    rename-command FLUSHALL ""

    rename-command CONFIG   ""

    rename-command EVAL     ""

    rename-command shutdown     ""

    rename-command FLUSHDB     ""

    2.4 低权限账户


    设置单独的redis账户运行redis,redis crackit漏洞就利用root用户的特性来重置authorized_keys从而达到控制系统主机的目的,使用普通帐号运行redis可以降低被利用的风险,如下:

    创建一个redis账户,然后通过该账户启动redis,命令如下:

    useradd redis -s /sbin/nolgin  ##创建不可登录的用户

    vim /etc/supervisor/conf.d/redis.conf

    [program:redis]

    command=/bin/bash sv_start.sh conf/redis.conf

    process_name=%(program_name)s

    numprocs=1

    directory=/home/dell/face/redis/latest

    ;umask=022

    priority=700

    autostart=true

    autorestart=true

    ;startsecs=3

    startretries=3

    exitcodes=0,2

    ;stopsignal=TERM

    stopwaitsecs=5

    stopasgroup=true

    killasgroup=true

    user=redis   //使用redis用户启动任务

    redirect_stderr=true

    stdout_logfile=/home/dell/data/logs/%(program_name)s.log

    stdout_logfile_maxbytes=20MB

    stdout_logfile_backups=5

    supervisorctl update       //更新配置

    redis附录:

    配置文件中指定redis淘汰策略

    redis提供的淘汰策略:

    noeviction:达到内存限额后返回错误,客户尝试可以导致更多内存使用的命令(大部分写命令,但DEL和一些例外)

    allkeys-lru:为了给新增加的数据腾出空间,驱逐键先试图移除一部分最近使用较少的(LRC)。

    volatile-lru:为了给新增加的数据腾出空间,驱逐键先试图移除一部分最近使用较少的(LRC),但只限于过期设置键。

    allkeys-random: 为了给新增加的数据腾出空间,驱逐任意键

    volatile-random: 为了给新增加的数据腾出空间,驱逐任意键,但只限于有过期设置的驱逐键。

    volatile-ttl: 为了给新增加的数据腾出空间,驱逐键只有秘钥过期设置,并且首先尝试缩短存活时间的驱逐键

    四、防止ddos攻击

    简易的防止ddos脚本

    ufw enable    //先开启ufw

    vim ddos.sh

    #!/bin/bash

    head=`netstat -an  | grep ESTABLISHED  |awk  '{print $5}'|awk -F':' '{print $1}' |uniq  -c |sort -nr |head -1`  ##取建立连接做多的IP

    head_ip_num=`echo $head|awk  '{print $1}'`  ##取建立连接做多的IP的数量

    head_ip=`echo $head|awk  '{print $2}'`               ##取建立连接做多的IP

    if [[ $head_ip_num -gt 200]]     ##判断IP出现次数有没有200

    then

            ufw deny from $head_ip to any  ##超过200,禁止此IP访问

    else

            echo "$head_ip 出现次数较多请注意"  ##小于200,提醒

    fi

    bash ddos.sh    ##执行脚本

  • 相关阅读:
    Swift高级语法学习总结(转)
    Swift基础语法学习总结(转)
    Go语言语法汇总(转)
    IOS8解决获取位置坐标信息出错(Error Domain=kCLErrorDomain Code=0)(转)
    修正iOS从照相机和相册中获取的图片方向(转)
    解决小米、红米及其他 Android 手机无法在 Mac 下进行真机调试的问题(转)
    mac os 禁止apache httpd自动启动(转)
    rethinkdb的dataexplorer查询使用
    中文 iOS/Mac 开发博客列表(转)
    mac上eclipse用gdb调试(转)
  • 原文地址:https://www.cnblogs.com/pengjihao/p/11092095.html
Copyright © 2020-2023  润新知