Linux/unix安全優(yōu)化的討論與案例分享（獲獎(jiǎng)名單已公布）

dahai01

分享一個(gè)日志分析的腳本，查找可疑的IP并拒絕掉

1. #!/bin/sh  
   
2. ### FileName: ddos_drop.sh
   
3. ### Auth: Sunshine GU
   
4. 
   
5. ###程序文件路徑
   
6. nginx_log_file=/home/wwwlogs/access.log
   
7. apache_log_file=/var/log/httpd/access.log
   
8. 
   
9. ###IP列表存儲(chǔ)路徑
   
10. grep_list=drop_ip.dat
    
11. ###IP列表排除
    
12. else_list='192.168.14|127.0.0.1|0.0.0.0'
    
13. 
    
14. ###監(jiān)控端口
    
15. grep_port='80|8080|443'
    
16. 
    
17. ###執(zhí)行間隔時(shí)間(s)
    
18. exec_time=60
    
19. 
    
20. ###清空舊的非法IP
    
21. if [ -e $grep_list ];then
    
22.    rm -f $grep_list
    
23. fi
    
24. 
    
25. ###服務(wù)器為nginx，則啟動(dòng)此過程
    
26. nginx_moudle() {
    
27. tail $nginx_log_file -n 1000|grep -E 'GET|POST'|awk {'print $1'}|sort|uniq -c|sort -nr|awk '{if ($2!="-" && $1>100) {print $2}}' > $grep_list
    
28. for i in `cat $grep_list`
    
29. do
    
30.   if [ $i!=`iptables --list|grep $i|awk {'print $4'}` ];
    
31.   then
    
32.     /sbin/iptables -I INPUT -s $i -j DROP;
    
33.   fi
    
34. done
    
35. }
    
36. 
    
37. ###服務(wù)器為apache，則啟動(dòng)此過程
    
38. apache_moudle() {
    
39. tail $apache_log_file -n 1000|grep -E 'GET|POST'|awk {'print $1'}|sort|uniq -c|sort -nr|awk '{if ($2!="-" && $1>100) {print $2}}' > $grep_list
    
40. for i in `cat $grep_list`
    
41. do
    
42.   if [ $i!=`iptables --list|grep $i|awk {'print $4'}` ];
    
43.   then
    
44.     /sbin/iptables -I INPUT -s $i -j DROP;
    
45.   fi
    
46. done
    
47. }
    
48. 
    
49. ###根據(jù)連接狀態(tài)進(jìn)行IP屏蔽
    
50. netstat_moudle() {
    
51. /bin/netstat -ant |grep -E $grep_port|awk '{print $5}'|awk -F : '{print $1}'|sort|uniq -c|sort -rn|grep -v -E $else_list|awk '{if ($2!=null && $1>50) {print $2}}' > $grep_list
    
52. for i in `cat $grep_list`
    
53. do
    
54.   if [ $i!=`iptables --list|grep $i|awk {'print $4'}` ];
    
55.   then
    
56.     /sbin/iptables -I INPUT -s $i -j DROP;
    
57.   fi
    
58. done
    
59. }
    
60. 
    
61. ###啟動(dòng)命令控制
    
62. case "$1" in
    
63.   nginx)
    
64.         while true
    
65.         do
    
66.         nginx_moudle
    
67.         sleep $exec_time
    
68.         done
    
69.         ;;
    
70.   apache)
    
71.         while true
    
72.         do
    
73.         apache_moudle
    
74.         sleep $exec_time
    
75.         done
    
76.         ;;
    
77.   netstat)
    
78.         while true
    
79.         do
    
80.         netstat_moudle
    
81.         sleep $exec_time
    
82.         done
    
83.         ;;
    
84.   *)
    
85.         echo $"Usage: $prog {nginx|apache|netstat}"
    
86.         exit 1
    
87. esac

復(fù)制代碼

dahai01

回復(fù) 80# king_819


很不錯(cuò)的分享，寫的很詳細(xì)，學(xué)習(xí)了



   

dahai01

安全守則

1. 廢除系統(tǒng)所有默認(rèn)的帳號(hào)和密碼。  
2. 在用戶合法性得到驗(yàn)證前不要顯示公司題頭、在線幫助以及其它信息。  
3. 廢除“黑客”可以攻擊系統(tǒng)的網(wǎng)絡(luò)服務(wù)。  
4. 使用8位以上的組合式密碼，ssh服務(wù)最好使用key認(rèn)證。  
5. 限制用戶嘗試登錄到系統(tǒng)的次數(shù)。  
6. 記錄違反安全性的情況并對(duì)安全記錄進(jìn)行復(fù)查。  
7. 對(duì)于重要信息，上網(wǎng)傳輸前要先進(jìn)行加密。  
8. 重視專家提出的建議，安裝他們推薦的系統(tǒng)“補(bǔ)丁”。  
9. 限制不需密碼即可訪問的主機(jī)文件。  
10.修改網(wǎng)絡(luò)配置文件，以便將來自外部的TCP連接限制到最少數(shù)量的端口。不允許諸如tftp,sunrpc,printer,rlogin或rexec之類的協(xié)議。  
11.用upas代替sendmail。sendmail有太多已知漏洞，很難修補(bǔ)完全。  
12.去掉對(duì)操作并非至關(guān)重要又極少使用的程序。  
13.使用chmod將所有系統(tǒng)目錄變更為711模式。這樣，攻擊者們將無法看到它們當(dāng)中有什么東西，而用戶仍可執(zhí)行。  
14.只要可能，就將磁盤安裝為只讀模式。其實(shí)，僅有少數(shù)目錄需讀寫狀態(tài)。  
15.將系統(tǒng)軟件升級(jí)為最新版本。老版本可能已被研究并被成功攻擊，最新版本一般包括了這些問題的補(bǔ)救。

lutheran

king_819 發(fā)表于 2012-03-13 14:18

這個(gè)總結(jié)的好。謝謝共享！

king_819

回復(fù) 82# dahai01


   不錯(cuò)的腳本享，通過日志中的行為動(dòng)作來進(jìn)行判斷

   

無風(fēng)之谷

回復(fù) 82# dahai01


    分享的不錯(cuò)啊，期待更多的腳本能分享下。

無風(fēng)之谷

回復(fù) 73# king_819


    king兄弟 干貨很多的，強(qiáng)烈支持！

無風(fēng)之谷

回復(fù) 61# Shell_HAT


    感謝hat的分享，期待hat兄分享更多的干貨��！

無風(fēng)之谷

回復(fù) 60# Godbach


    GOD兄，你也拿出些腳本來分享嘛:wink:

king_819

回復(fù) 88# 無風(fēng)之谷


    大家一起分享才是真的分享，特別是生產(chǎn)環(huán)境下的