第一个脚本是通过查找日志中访问次数过多的ip,并用iptables屏蔽。 #!/bin/bash cur=`date +%H%M%S` becur=`date -d 1 minute ago +%H%M%S` badip=`tail -n 10000 /home/www.centos.bz/log/access.log | egrep -v \.(gif|jpg|jpeg|png|css|js) | awk -v a=$bec...
很多站长拥有linux主机,不管是虚拟机还是实体机,一般我们远程连接的时候,都是用的ssh(SecureShell建立在应用层和传输层基础上的安全协议)。 它默认的端口22,默认使用root也是可以登录的。这样在互联网上就是很危险的事情了,我们只能通过改变它的默认端口...
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 IPT=/sbin/iptables $IPT --delete-chain $IPT --flush $IPT -P INPUT DROP#1 $IPT -P FORWARD DROP#1 $IPT -P OUTPUT DROP#1 $IPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT#...
(1) PHP函数禁用找到 1 disable_functions = 该选项可以设置哪些PHP函数是禁止使用的,PHP中有一些函数的风险性还是相当大的,可以直接执行一些CentOS系统级脚本命令,如果允许这些函数执行,当PHP 程序出现漏洞时,损失是非常严重的!以下我们给出推荐的禁用函数设...
经常我们在配置linux服务器时需要做一些安全限制,比如只允许特定的IP地址段才能够访问指定的端口等。比如我有一台服务器,是有双IP的,内外网都可以访问,但有些应用又不允许外部用户访问,所以需要在端口上做一些特别限制,比如只允许192.168.1.x网段的用户...
当互联网时代来临,人们从未像现在这样害怕自己的密码和隐私遭到破解或盗取,那么有没有一种可靠的密码设置方法呢?答案是肯定的。已经在互联网安全领域混迹多年的专家Bruce Schneier近日向人们给出了如何设置完美密码的方法,而想要让自己的密码难倒黑客就必...
昨天晚上群里有一个朋友的服务器发现有入侵的痕迹后来处理解决但是由于对方把日志都清理了无疑给排查工作增加了许多难度。刚好手里有些资料我就整理整理贴出来分享一下。其实日志的作用是非常大的。学会使用通过日志来排查解决我们工作中遇到的一些问题是很...
CentOS安装所需组件: 1 yum -y install mercurial pam-devel 安装Google Authenticator: 123456 #http://www.haiyun.me wget --no-check-certificate https: // google-authenticator.googlecode.com / files / libpam-google-authenticator- 1.0 -source....
Redhat是目前企业中用的最多的一类Linux,而目前针对Redhat攻击的黑客也越来越多了。我们要如何为这类服务器做好安全加固工作呢? 一. 账户安全 1.1 锁定系统中多余的自建帐号 检查方法: 执行命令 #cat /etc/passwd #cat /etc/shadow 查看账户、口令文件,与...
经常玩Linux系统的朋友多多少少也知道些系统参数优化和怎样增强系统安全性,系统默认的一些参数都是比较保守的,所以我们可以通过调整系统参数来提高系统内存、CPU、内核资源的占用,通过禁用不必要的服务、端口,来提高系统的安全性,更好的发挥系统的可用性...
Redhat是目前企业中用的最多的一类Linux,而目前针对Redhat攻击的黑客也越来越多了。我们要如何为这类服务器做好安全加固工作呢? 一. 账户安全 1.1 锁定系统中多余的自建帐号 检查方法: 执行命令 #cat /etc/passwd #cat /etc/shadow 查看账户、口令文件,与...
一、 基于动态内容为主的网站优化案例 1.网站运行环境说明 硬件环境:1台IBM x3850服务器, 单个双核Xeon 3.0G CPU,2GB内存,3块72GB SCSI磁盘。 操作系统:CentOS5.4。 网站架构:Web应用是基于LAMP架构,所有服务都在一台服务器上部署。 2.性能问题现象...
一、取消不必要的服务 早期的Unix版本中,每一个不同的网络服务都有一个服务程序在后台运行,后来的版本用统一的/etc/inetd服务器程序担此重任。Inetd是Internetdaemon的缩写,它同时监视多个网络端口,一旦接收到外界传来的连接信息,就执行相应的TCP或UDP...
这两天OpenSSL Heart Bleed 漏洞搞得人心惶惶,请看这篇文章: 分析、诊断OpenSSL Heartbleed Bug ,目前可知的能够利用此漏洞的版本是: OpenSSL 1.0.1 through 1.0.1f (inclusive) are vulnerable OpenSSL 1.0.1g is NOT vulnerable OpenSSL 1.0.0 branch...
环境: CentOS 6.3 x86_64 基础组件安装: yum -y install wget gcc make pam-devel libpng-devel 一、安装qrencode 在Linux上,有一个名为 QrenCode 的命令行工具可以很容易帮我们生成二维码,google authenticator命令行生成二维码就是调用它 。 wget http...
1 DDoS:Distributed Denial of Service DDoS攻击,即分布式拒绝服务攻击,是目前黑客经常采用而难以防范的攻击手段。黑客一般是通过制作僵尸网络的方式攻击域名,即在计算机中植入特定的恶意程序控制大量肉鸡(指可以被黑客远程控制的机器),然后通过相对集...
最近有位站长在用我们WebIM客户端的时候,无法登录我们的WebIM服务器,十分惊讶。 在我们的用户里尚属首例,其实更惊讶的是我的CentOS也遇到了同样的问题。然后分析了这位站长的HttpResponse , Shamee :( 一样的OS. 搜了一下,发现的解决方法都是在代码上。...
CentOS(Community ENTerprise Operating System)是Linux发行版之一,它是来自于Red Hat Enterprise Linux依照开放源代码规定开放的源代码所编译而成。由于出自同样的源代码,因此有些要求高度稳定性的服务器以CentOS替代商业版的Red Hat Enterprise Linux使...
前一段时间笔者在领导的安排下开发了一套针对IT系统维护人员的绩效考核知识管理系统,系统上线后经过几次调优系统运行正常。可惜美好的时光总是太短暂,2月份集团派国内做安全的厂商对企业信息化系统安全扫描,发现该系统存在SQL注入式漏洞、数据库提权安全...
linux优化及安全是基于服务器应用的linux来谈的,由于个人电脑上使用linux也许不是像服务器上一样,优先追求安全和稳定,因此个人电脑使用的朋友只做个参考吧。 本文提及的系统,如没有特别声明,均采用redhat公司的redhatlinux系统。 一、关于优化 说起优化...
防火墙可分为几种不同的安全等级。在Linux中,由于有许多不同的防火墙软件可供选择,安全性可低可高,最复杂的软件可提供几乎无法渗透的保护能力。不过,Linux核心本身内建了一种称作伪装的简单机制,除了最专门的黑客攻击外,可以抵挡住绝大部分的攻击行动...
apache的安全增强配置(使用mod_chroot,mod_security) LAMP环境的一般入侵,大致经过sql注入,上传webshell,本地提权至root,安装rootkit等步骤。采用如下的配置,mod_chroot和单独分区挂载可以让本地提权变得极为困难,而mod-security可以封堵一般的sql注入...
网上总是会有很多无聊的人扫服务器密码,我以前的一台服务器就曾今遇到过这个问题。当然,这个问题的严重性还是非常高的,如果被入侵了的话危害自然是不小的,常有被当做肉鸡、数据失窃或者被人操纵发送Spam的案例,所以基础的安全设置防破解对于vps所有者来...
最近因为自己一台centos网站服务器的问题一直在不断的查找centos安全的资料。下面分享一个常用的iptables规则: IPT=/sbin/iptables $IPT delete-chain $IPT flush $IPT -P INPUT DROP #1 $IPT -P FORWARD DROP #1 $IPT -P OUTPUT DROP #1 $IPT -A INPUT -m s...
一、Linux忘记root密码,进入单用户模式修改密码 (一)、关于lilo 1. 在出现 lilo: 提示时键入 Linux single 画面显示 lilo: Linux single 2. 回车可直接进入Linux命令行 3. 用password命令修改密码 (二)、关于 grub 1. 在出现grub画面时,用上下键选中你...
主要是针对/etc/sysctl.conf里的各项进行详细解析,所有内容经网络搜集并整理,方便大家学习了解。 系统优化项: kernel.sysrq = 0 #使用sysrq组合键是了解系统目前运行情况,为安全起见设为0关闭 kernel.core_uses_pid = 1 #控制core文件的文件名是否添加pid...
这篇文章将介绍如何修改sshd的默认设置以确保sshd安全和受限制,进行保护你的服务器免受黑客入侵。每次你更改sshd的配置文件后需要重启sshd。这样做你当前的连接是不会关闭的。确保你有一个单独的以root登录的终端,以防止你错误的配置。这样做你就可以避免...
如果你是一个系统管理员,你应该按照以下的10点建议来保证Apacheweb服务器的安全。 1、禁用不必要的模块 如果你打算源码编译安装apache,你应该禁用以下的模块。如果你运行./configure -help,你将会看到所有可用的你可以禁用/开启的模块。 userdir 用户特定...
一、注释掉系统不需要的用户和用户组 注意:不建议直接删除,当你需要某个用户时,自...
这几天正忙项目事情,服务器上线了产品还没上线,老收到客户端投诉服务器连不上了,一...
1、开启云盾所有服务 2、通过防火墙策略限制对外扫描行为 请您根据您的服务器操作系统...
Centos所以用下面的语句 yum -y update bash...
一、rootkit简介 rootkit是Linux平台下最常见的一种木马后门工具,它主要通过替换系统...
LAMP是一套软件架构,包括这几大部分:Linux(作为基础层的操作系统),Apache(位于操作...