linux渗透测试技巧2则

0x00 背景 发现一网站存在漏洞，遂进行测试： 这是一个获取网页源码的cgi脚本 http://xxx.com/cgi-bin/printfile.cgi?file=http://www.baidu.com 习惯性的,在file后面测试 ../../../../../ 包含或者读取漏洞均无效.有意思的是使用File协议(本地文件传输协议)...

实战NTP放大攻击

最近一台暴露在公网的时钟同步服务器遭遇了NTP放大攻击，通过一天的学习和努力，终于解决。 被攻击的情况大概是这样的： 某台运行多年的业务Windows Server 2008 R2服务器，安装的是ntp-4.2.4p7这个版本的时钟同步服务端程序。 2月24日忽然出现ping服务器丢包...

如何在 Linux 上设置密码策略

用户帐号管理是系统管理员最重要的工作之一。而密码安全是系统安全中最受关注的一块。在本教程中，我将为大家介绍 如何在 Linux 上设置密码策略 。 假设你已经在你的 Linux 系统上使用了 PAM (Pluggable Authentication Modules，插入式验证模块) ，因为这些...

Linux 安全新闻: Linux 3.13、SystemRescueCD 4和BackBox 3.13

1) Linux 3.13 Linus Torvalds 前一段时间释出了 Linux Kernel 3.13 作为2014年的开门红。按照惯例，此版本更新了大量驱动。 并且，Linux Kernel 3.13 包含了 nftable，这个软件是大名鼎鼎的 iptables 的继任者。从提交的代码来看，nftables 继续使用现存的...

电子商务网站之Linux服务器iptables规则列表全攻略

[连载之电子商务系统架构]访问量超过100万的电子商务网站技术架构 服务器的安全性，一直是网站的首要考虑的任务。针对安全性有多种多样的解决方案。Linux服务器防火墙，最常用到的当然要数iptables防火墙。iptables是Linux上常用的防火墙软件，规则也非常灵...

linux服务器安全设置

1.禁止ping /etc/rc.d/rc.local echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_all 2.对用户和口令文件进行权限控制 chmod 600 /etc/passwd chmod 600 /etc/shadow chmod 600 /etc/group chmod 600 /etc/gshadow 3.给下面文件加上不可更改属性 chattr +i /etc/...

防帐号密码穷举工具：Fail2Ban

常在江湖飘哪能不挨刀。互联网似乎危机重重，不管是机器还是人工的帐号密码穷举机不胜其数。这时可以使用修改服务端口的方式，如《 Linux下SSH端口修改 》。但这招总是治标不治本的。为此我们要给服务器在加一道防线，使用Fail2Ban这个工具自动封锁穷举密码...

Linux下pam密码复杂度限制

linux系统是如何实现对用户的密码的复杂度的检查的呢？ 系统对密码的控制是有两部分组成： 1 cracklib 2 /etc/login.defs pam_cracklib.so 才是控制密码复杂度的关键文件 /lib/security/pam_cracklib.so redhat公司专门开发了cracklib这个安装包来判断密码的...

Apache安全配置基线指导

本文规定了维护工程师所维护管理的Apache服务器应当遵循的安全性设置标准，本文档旨在指导系统管理人员进行Apache服务器的安全配置。本文档适用的版本2.0.x、2.2.x版本的Apache服务器。 第1章日志配置操作 1.1日志配置 1.1.1审核登录 安全基线项目名称 Apache...

开源中间件tomcat服务器安全配置基线指导

本文规定了信息系统部门所维护管理的Tomcat WEB服务器应当遵循的安全性设置标准，本文档旨在指导系统管理人员进行Tomcat WEB服务器的安全配置。本文适用的tomcat服务器版本为4.x、5.x、6.x版本的Tomcat Web服务器。 第1章账号管理、认证授权 1.1账号 1.1.1共...