Какви услуги са активни, всички необходими ли са?
За да видите услугите, които имаме, можете да използвате команда netstat. Например от SSH връзка:
root @ server1: ~ # netstat -aТой ни показва всички активни услуги и слушане за получаване на потребители или връзки, тук виждаме някои като Apache (http) за обслужване на уеб страници, smtp услуга за изпращане на имейл, ftp за качване на файлове.
Можете да спрете услуга, ако е ненужна или ако заема много памет или процесор, за това можем да видим потреблението с командата:
root @ server1: ~ # ps aux -сортиране на cputime
Тук можем да видим Mysql, антивирусната програма Кламов, Y Гълъбарник е IMAP и POP3 сървър с отворен код. Тук можем да видим процеса, изпълнен от нас по -рано, важно е да не бъркате колоната START, която има дати и часове, тя показва на коя дата или час е започнала операцията.
След това, за да спрете примерна услуга на Mysql:
/etc/init.d/mysql рестартиране /etc/init.d/mysql стоп /etc/init.d/mysql стартПример за използване на команди в сигурността на сървъра на Linux, ще използваме някои команди за откриване и предотвратяване на атака за отказ на услуги, която е най -честата.
А атака за отказ на услуга (DoS атака) или Разпределени атаки за отказ на услуга (DDoS атака) това е опит да направи сървърния ресурс недостъпен за своите потребители.
1) Открийте атаката
Основният симптом е, че сървърът става много бавен или „услугите са прекъснати“, те спират да работят поради генериране на прекомерни връзки, сървърът не може да отговори.
Ще използваме команда "netstat".
Той ни показва активните връзки на порт 80.
root @ server1: ~ # netstat -an | grep: 80 | вид
Тук можем да видим, че един от активния ip, който запитва нашия сървър, има 5000 връзки, докато може да се каже, че нормалното ще бъде около 20 или 30 връзки на ip. Тогава бихме могли да подозираме DDOS атака, тъй като потреблението на ресурси
2) Първото нещо ще бъде да блокирате ip на нападателя с Iptables
Iptables е името на инструмента за потребителско пространство, чрез което администраторът може да дефинира политики за филтриране на трафика, който циркулира в мрежата.
root @ server1: ~ # iptables -I ВХОД -s 74,6,73,22 -j DROPС това се срива.
3) Инсталирайте mod_evasive за Apache
Mod Избягващ е модул за Apache, който отговаря за осигуряването на допълнително ниво на сигурност на нашия много мощен и персонализиран уеб сървър.
В примера ще го направим за Centos, но може да се адаптира към всеки Linux с Apache.
Инсталираме зависимости от ssh
root @ server1: ~ # cd/usr/src root @ server1: ~ # wget http://www.zdziarski.com/projects/mod_evasive/mod_evasive_1.10.1.tar.gz root @ server1: ~ # tar zxvf mod_evasive_1.10.1 .tar.gz root @ server1: ~ # cd mod_evasive root @ server1: ~ # apxs -cia mod_evasive20.c # за Apache 1.3 командата ще бъде apxs -cia mod_evasive.c root @ server1: ~ # vi / etc / httpd / conf /httpd.conf # редактираме root конфигурацията @ server1: ~ # услуга httpd рестартиране # рестартираме ApacheВ / etc / httpd / conf /httpd.conf следва да се добавят следните редове.
DOSHashTableSize 3097 DOSPageCount 2 DOSSiteCount 50 DOSPageInterval 1 DOSSiteInterval 1 DOSBlockingPeriod 300Важни параметри
- DOSPageCount: брой връзки, които потребителят може да направи за секунда преди блокирането на неговия ip.
- DOSSiteCount: колко искания може да направи потребителят, преди да бъде блокиран.
- Период на блокиране на DOS: колко време в секунди ще продължи блокирането на този IP.
