众所周知,网络安全是一个非常重要的课题,而服务器是网络安全中最关键的环节。linux被认为是一个比较安全的Internet服务器,作为一种开放源代码操作系统,一旦linux系统中发现有安全漏洞,Internet上来自世界各地的志愿者会踊跃修补它。然而,系统管理员往往不能及时地得到信息并进行更正,这就给黑客以可乘之机。相对于这些系统本身的安全漏洞,更多的安全问题是由不当的配置造成的,可以通过适当的配置来防止。服务器上运行的服务越多,不当的配置出现的机会也就越多,出现安全问题的可能性就越大。对此,下面将介绍一些增强linux/Unix服务器系统安全性的知识。 一、系统安全记录文件 操作系统内部的记录文件是检测是否有网络入侵的重要线索。如果您的系统是直接连到Internet,您发现有很多人对您的系统做Telnet/FTP登录尝试,可以运行"#more/var/log/secure greprefused"来检查系统所受到的攻击,以便采取相应的对策,如使用SSH来替换Telnet/rlogin等。 二、启动和登录安全性 1 #echo》/etc/issue 然后,进行如下操作: #rm-f/etc/issue #rm-f/etc/issue 三、限制网络访问 1(ro,root_squash) /dir/to/exporthost2(ro,root_squash) /dir/to/export是您想输出的目录,host是登录这个目录的机器名,ro意味着mount成只读系统,root_squash禁止root写入该目录。为了使改动生效,运行如下命令。 #/usr/sbin/exportfs-a 2"表示允许IP地址192允许通过SSH连接。 配置完成后,可以用tcpdchk检查: #tcpdchk tcpchk是TCP_Wrapper配置检查工具,它检查您的tcpwrapper配置并报告所有发现的潜在/存在的问题。 3.登录终端设置 /etc/securetty文件指定了允许root登录的tty设备,由/bin/login程序读取,其格式是一个被允许的名字列表,您可以编辑/etc/securetty且注释掉如下的行。 #tty1 #tty2 #tty3 #tty4 #tty5 #tty6 这时,root仅可在tty1终端登录。 4.避免显示系统和版本信息。 如果您希望远程登录用户看不到系统和版本信息,可以通过一下操作改变/etc/inetd.conf文件: telnetstreamtcpnowaitroot/usr/sbin/tcpdin.telnetd-h 加-h表示telnet不显示系统信息,而仅仅显示"login:" 四、防止攻击 1.阻止ping如果没人能ping通您的系统,安全性自然增加了。为此,可以在/etc/rc.d/rc.local文件中增加如下一行:
成都创新互联公司是一家专注于成都网站建设、做网站与策划设计,拉孜网站建设哪家好?成都创新互联公司做网站,专注于网站建设十多年,网设计领域的专业建站公司;建站业务涵盖:拉孜等地区。拉孜做网站价格咨询:18980820575
一、用例总览
Wazuh通常用于满足合规要求(如PCI DSS或HIPAA)和配置标准(CIS强化指南)。它在IaaS (eg. Amazon AWS, Azure or Google cloud) 用户中也很流行,在运行的实例中部署基于主机的IDS可以与基础设施事件分析(直接从云提供商API提取)相结合。
以下是一些常见的用例:
(1)基于签名的日志分析
(2)文件完整性监测
(3)rootkit检测
(4)安全政策监控
二、基于签名的日志分析
自动日志分析和管理加速了威胁检测。在许多情况下,攻击证据可以在设备、系统和应用程序的日志中找到。Wazuh可以用于自动聚合和分析日志数据。
运行在监控主机上的Wazuh代理通常负责读取操作系统和应用程序日志消息,并将这些消息转发到分析发生的Wazuh服务器。当没有部署代理时,服务器还可以通过syslog从网络设备或应用程序接收数据。
Wazuh使用解码器识别日志消息的源应用程序,然后使用特定于应用程序的规则分析数据。下面是一个用于检测SSH身份验证失败事件的规则示例:
规则包括一个match字段,用于定义规则将要寻找的模式。它还有一个level字段,用于指定生成的警报优先级。
每当某个代理或通过syslog收集的事件与级别大于零的规则匹配时,管理器将生成一个警报。
下面是/var/ossec/logs/alerts/alerts.json中的一个例子:
一旦由管理器生成,警报就被发送到Elastic Stack组件,在该组件中,通过存储和索引地理位置信息丰富警报。然后,Kibana可以用来搜索、分析和可视化数据。如下界面显示的警告:
Wazuh提供了一个定期更新的默认规则集,为不同的应用程序提供了超过1600条规则。
三、文件完整性监控
当操作系统和应用程序文件被修改时,文件完整性监视(FIM)组件会检测并发出警报。此功能通常用于检测对敏感数据的访问或更改。如果您的服务器在PCI DSS的范围内,那么需求11.5说明您必须安装一个文件完整性监控解决方案才能通过您的审计。
下面是在更改受监视文件时生成警告的示例。元数据包括MD5和SHA1校验和、文件大小(更改之前和之后)、文件权限、文件所有者、内容更改以及进行这些更改的用户(who-data)。文件完整性监测
FIM仪表板提供了向下钻取功能,以查看触发警报的所有细节,可以在其中找到文件更改的良好摘要。
四、rootkit检测
Wazuh代理定期扫描监控系统,以在内核和用户级别检测rootkit。这类恶意软件通常替换或改变现有的操作系统组件,以改变系统的行为。rootkit可以隐藏其他进程、文件或网络连接,就像它自己一样。
Wazuh使用不同的检测机制来查找系统异常或已知的入侵。这是由Rootcheck组件定期完成的:
下面是发现隐藏进程时生成的警报示例。在本例中,受影响的系统正在运行Linux内核级rootkit(名为 Diamorphine):
五、安全策略监控
SCAP是企业级基础设施的标准化遵从性检查解决方案。它是由美国国家标准与技术研究所(NIST)维护的一套规范,旨在维护企业系统安全。
OpenSCAP是一种审计工具,它利用了可扩展配置检查表描述格式(XCCDF)。XCCDF是一种表示检查表内容和定义安全检查表的标准方法。它还与其他规范(如CPE、CVE、CCE和OVAL)相结合,创建可由经过scap验证的产品处理的scap表示的检查列表。
Wazuh代理在内部使用OpenSCAP来验证系统是否符合CIS强化标准。下面是一个SCAP规则示例,用于检查SSH守护进程是否配置为允许空密码:
SCAP检查定期运行(默认情况是一天一次),结果被设置到Wazuh服务器,在那里通过OpenSCAP解码器和规则进行处理。下面是一个警告的例子,当Linux审计策略(auditd)没有配置为监视用户操作时生成的警告:
此外,Wazuh WUI还可以用于可视化和分析策略监视扫描结果。例如,以下是使用服务器基线和PCI DSS v3预定义概要文件扫描CentOS系统时收集的数据的屏幕截图:
1、检查项目 : 设置密码失效时间
加固建议: 在 /etc/login.defs 中将 PASS_MAX_DAYS 参数设置为 60-180之间,如 PASS_MAX_DAYS 90。需同时执行命令设置root密码失效时间: $ chage --maxdays 90 root。
chage -l root //查询用户的密码到期时间等信息
2、检查项目 : 设置密码修改最小间隔时间
加固建议: 在 /etc/login.defs 中将 PASS_MIN_DAYS 参数设置为5-14之间,建议为7: PASS_MIN_DAYS 7 需同时执行命令为root用户设置: $ chage --mindays 7 root
3、检查项目 : 禁止SSH空密码用户登录
加固建议: 在/etc/ssh/sshd_config中取消PermitEmptyPasswords no注释符号#
4、检查项目 : 确保SSH MaxAuthTries设置为3到6之间
加固建议: 在vi /etc/ssh/sshd_config中
取消MaxAuthTries注释符号#,设置最大密码尝试失败次数3-6,建议为5:MaxAuthTries 5
5、检查项目 : SSHD强制使用V2安全协议
加固建议: 编辑vi /etc/ssh/sshd_config
文件以按如下方式设置参数:Protocol 2
6、检查项目 : 设置SSH空闲超时退出时间
加固建议: 编辑vi /etc/ssh/sshd_config
将ClientAliveInterval 设置为300到900,即5-15分钟,
将ClientAliveCountMax设置为0。
ClientAliveInterval 900 ClientAliveCountMax 0
7、检查项目 : 确保SSH LogLevel设置为INFO
加固建议: 编辑vi /etc/ssh/sshd_config 文件以按如下方式设置参数(取消注释): LogLevel INFO
8、检查项目 : 设置用户权限配置文件的权限
加固建议: 执行以下5条命令
chown root:root /etc/passwd /etc/shadow /etc/group /etc/gshadow
chmod 0644 /etc/group
chmod 0644 /etc/passwd
chmod 0400 /etc/shadow
chmod 0400 /etc/gshadow
