Linux/unix安全優(yōu)化的討論與案例分享（獲獎(jiǎng)名單已公布）

king_819

屏蔽22端口掃描的IP

1. file=/root/script/drop_ip_1
   
2. ips=`/bin/awk '/Failed/{a[$(NF-3)]++}END{for(i in a)if(a[i]>10)print i}' /var/log/secure `
   
3. for ip in $ips
   
4. do
   
5.         /bin/grep -q $ip $file ||(echo "`date +'%Y-%m-%d %H:%M:%S'`      $ip ">>$file)
   
6. done
   
7. drop_ip=`cat drop_ip_1|awk -F: '{print $6}'`
   
8. for iptables_ip in $drop_ip
   
9. do
   
10.         if [ $iptables_ip != $0 ] && [ -z "` iptables -nvL -t nat|grep $iptables_ip`" ];then
    
11.         /sbin/iptables -t nat -I PREROUTING -s $iptables_ip -j DROP
    
12.         fi
    
13. done
    

復(fù)制代碼

cgweb

OSSIM（開源安全信息管理系統(tǒng)）在企業(yè)網(wǎng)絡(luò)管理中的部分應(yīng)用
今天為大家介紹的OSSIM即開源安全信息管理系統(tǒng)是目前非常流行的開源安全架構(gòu)體系。OSSIM通過將開源產(chǎn)品進(jìn)行集成,從而提供一種能夠?qū)崿F(xiàn)安全監(jiān)控功能的基礎(chǔ)平臺(tái)OSSIM明確定位為一個(gè)集成解決方案,它利用豐富的、強(qiáng)大的各種程序(包括Snort、Rrd、Nmap、 Nessus以及Ntop等開源系統(tǒng)安全軟件)。在一個(gè)保留他們?cè)�有功能和作用的開放式架構(gòu)體系環(huán)境下,將他們集成起來。由于開源項(xiàng)目的優(yōu)點(diǎn),這些工具已經(jīng)是久經(jīng)考驗(yàn),同時(shí)也經(jīng)過全方位測(cè)試、可靠的工具�？紤]到目前網(wǎng)絡(luò)上有關(guān)ossim實(shí)戰(zhàn)的資料比較少，為此本人專門將3年來對(duì)ossim的一部分研究成果演示給大家，更多詳盡知識(shí)可以參考《Linux企業(yè)案例分析精解》一書的主機(jī)監(jiān)控章節(jié)。

1.Ossim使用概況
http://video.sina.com.cn/v/b/71703274-1443650204.html
2.Ossim之OCS和Ntop網(wǎng)絡(luò)流量圖演示
http://video.sina.com.cn/v/b/71906119-1443650204.html
3.Ossim之全球IP定位
http://video.sina.com.cn/v/b/71900486-1443650204.html
4.Ossim高級(jí)應(yīng)用之網(wǎng)絡(luò)攻擊shellcode代碼分析
http://video.sina.com.cn/v/b/71833986-1443650204.html

king_819

回復(fù) 93# cgweb





    OSSIM是一個(gè)不錯(cuò)的開源安全管理系統(tǒng)，晨光兄應(yīng)該多分享些實(shí)際的安全經(jīng)驗(yàn)

zhangyudong1987

參與學(xué)習(xí)……安全經(jīng)驗(yàn)很重要。。。我剛好沒經(jīng)驗(yàn)

morris2600

學(xué)習(xí)下

dida2000

學(xué)習(xí)中....

king_819

在分享的過程中，也可以提出在實(shí)際工作中碰到的安全問題，大家一起討論下

playmud

拋磚引玉吧
首先表明一點(diǎn)，沒有絕對(duì)安全，沒有銀彈。

1，口令，字符+數(shù)字+特殊字符，長度>12。
2，核心服務(wù)器外層部署防火墻，禁止從服務(wù)器對(duì)外發(fā)起連接，防火墻指定ip管理。核心服務(wù)器與內(nèi)網(wǎng)辦公環(huán)境應(yīng)當(dāng)有權(quán)限和ip控制，防止測(cè)漏。
3，服務(wù)器內(nèi)配置文件權(quán)限加固，控制用戶數(shù)，日志備份到單獨(dú)服務(wù)器，訪問控制。
4，配置漏洞掃描工具，定期更新規(guī)則，定期掃描服務(wù)器。

我覺得首先你不能讓工作太繁瑣，否則維護(hù)人員難免懈怠，其次過度防護(hù)會(huì)影響性能。
定向滲透的難度遠(yuǎn)高于你的想象，安全沒那么脆弱。這10頁的經(jīng)驗(yàn)足矣足矣了。。。

你長期弱口令，不做權(quán)限設(shè)置，用眾所周知具有漏洞的版本，神也保護(hù)不了你。

20040925

回復(fù) 6# chenyx


    tcp_tw_recycle ：BOOLEAN
默認(rèn)值是0
打開快速 TIME-WAIT sockets 回收。除非得到技術(shù)專家的建議或要求﹐請(qǐng)不要隨意修改這個(gè)值。(做NAT的時(shí)候，建議打開它)

tcp_tw_reuse：BOOLEAN
默認(rèn)值是0
該文件表示是否允許重新應(yīng)用處于TIME-WAIT狀態(tài)的socket用于新的TCP連接(這個(gè)對(duì)快速重啟動(dòng)某些服務(wù),而啟動(dòng)后提示端口已經(jīng)被使用的情形非常有幫助)


你試驗(yàn)過嗎，我測(cè)試這兩個(gè)并不生效�。縏IME-WAIT照樣要等2MSL（tcp_tw_recycle無效）,且端口被占用時(shí)程序無法綁定端口（tcp_tw_reuse無效）

king_819

回復(fù) 99# playmud


安全與性能是相對(duì)的，適當(dāng)?shù)陌踩珒?yōu)化是為了提高性能，但過度的優(yōu)化又容易造系統(tǒng)不穩(wěn)定，容易出現(xiàn)一些問題，要平衡