系统审计,服务安全,Linux安全打补丁
nginx服务加固
1)装包时删除不需要的模块
yum -y install gcc openssl-devel pcre-devel
useradd -s /sbin/nologin nginx
tar -xf lnmp_soft/nginx-1.12.2.tar.gz
cd nginx-1.12.2/
[root@secu60 nginx]# ./configure --without-http_autoindex_module --without-http_ssi_module #禁用自动索引模块
[root@secu60 nginx]# make
[root@secu60 nginx]# make install
[root@secu60 nginx]# echo 123 >/usr/local/nginx/html/index.html
[root@secu60 nginx]# /usr/local/nginx/sbin/nginx #启动 (/usr/local/nginx/sbin/nginx -s reload 重启)
[root@secu60 nginx]# ss -antulp | grep 80
[root@secu60 nginx]# curl 192.168.4.60
扩展内容:启用索引功能(装包时需加载索引模块)
[root@secu60 nginx-1.12.2]# vim /usr/local/nginx/conf/nginx.conf
server {
listen 80;
server_name localhost;
autoindex on;
2)修改版本信息:
[root@secu60 ~]# curl -I http://192.168.4.60 #-I 查看服务软件的版本信息
HTTP/1.1 200 OK
Server: nginx/1.12.2
Date: Thu, 03 Jan 2019 01:37:51 GMT
Content-Type: text/html
Content-Length: 4
Last-Modified: Thu, 03 Jan 2019 01:17:57 GMT
Connection: keep-alive
ETag: "5c2d62c5-4"
Accept-Ranges: bytes
如何隐藏?第一种方法:修改配置文件,隐藏版本号信息server_tokens off
[root@secu60 ~]# vim /usr/local/nginx/conf/nginx.conf
server {
listen 80;
server_name localhost;
server_tokens off;
[root@secu60 ~]# curl -I http://192.168.4.60
HTTP/1.1 200 OK
Server: nginx
Date: Thu, 03 Jan 2019 01:41:57 GMT
Content-Type: text/html
Content-Length: 4
Last-Modified: Thu, 03 Jan 2019 01:17:57 GMT
Connection: keep-alive
ETag: "5c2d62c5-4"
Accept-Ranges: bytes
第二种方法:修改源码达到修改版本信息
[root@secu60 ~]# vim /root/nginx-1.12.2/src/http/ngx_http_header_filter_module.c
49 static u_char ngx_http_server_string[] = "Server: nginx" CRLF;
50 static u_char ngx_http_server_full_string[] = "Server: " NGINX_VER CRLF;
51 static u_char ngx_http_server_build_string[] = "Server: " NGINX_VER_BUILD CRLF;
49 static u_char ngx_http_server_string[] = "Server: MUJI" CRLF;
50 static u_char ngx_http_server_full_string[] = "Server:MUJI " CRLF;
51 static u_char ngx_http_server_build_string[] = "Server:MUJI " CRLF;
3)限制并发:限制某1台客户端同时访问的请求个数
ab压力测试并发命令需要安装软件httpd-tools
[root@room9pc01 ~]# ab -c 100 -n 100 http://192.168.4.60/ #测试并发访问
ngx_http_limit_req_module为默认模块 该模块可以降低DDos攻击风险
[root@secu60 ~]# /usr/local/nginx/sbin/nginx -s stop
http {
limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;
server {
listen 80;
server_name localhost;
limit_req zone=one burst=5; #多余的放在漏斗排队 数量5 加上正在处理的 一共可以处理6个
[root@room9pc01 ~]# ab -c 10 -n 100 http://192.168.4.60/ #再次ab并发测试
Concurrency Level: 10
Time taken for tests: 5.003 seconds
Complete requests: 100
Failed requests: 94 #只成功了6个
4)拒绝非法请求
[root@secu60 nginx-1.12.2]# /usr/local/nginx/sbin/nginx -s stop
[root@secu60 nginx-1.12.2]# vim /usr/local/nginx/conf/nginx.conf
location / {
root html;
index index.html index.htm;
}
if ($request_method!~^(GET|POST)$){
return 444;
}
[root@secu60 nginx-1.12.2]# /usr/local/nginx/sbin/nginx start
[root@room9pc01 ~]# curl -i -X GET http://192.168.4.60/ #正常显示
HTTP/1.1 200 OK
Server:MUJI nginx/1.12.2
Date: Thu, 03 Jan 2019 03:18:23 GMT
Content-Type: text/html
Content-Length: 4
Last-Modified: Thu, 03 Jan 2019 01:17:57 GMT
Connection: keep-alive
ETag: "5c2d62c5-4"
Accept-Ranges: bytes
123
[root@room9pc01 ~]# curl -i -X DELETE http://192.168.4.60/ #非正常显示
curl: (52) Empty reply from server
[root@room9pc01 ~]# curl -i -X HEAD http://192.168.4.60/ #非正常显示
curl: (52) Empty reply from server
5)防止buffer(缓存)溢出
防止客户端请求数据溢出
有效降低机器Dos攻击风险
[root@secu60 nginx-1.12.2]# vim /usr/local/nginx/conf/nginx.conf
http {
client_body_buffer_size 1K;
client_header_buffer_size 1K;
client_max_body_size 16K;
large_client_header_buffers 4 4K;
[root@secu60 ~]# yum -y install mariadb-server mariadb
[root@secu60 ~]# systemctl start mariadb
[root@secu60 ~]# ss -antulp | grep 3306
tcp LISTEN 0 50 *:3306 *:* users:(("mysqld",pid=12573,fd=14))
[root@secu60 ~]# mysqladmin -hlocalhost -uroot -p password "123456" #设置登录密码
[root@secu60 ~]# mysql -uroot -p123456
MariaDB [mysql]> select * from db where db="test"\G;
*************************** 1. row ***************************
Host: %
Db: test
User:
Select_priv: Y
Insert_priv: Y
Update_priv: Y
Delete_priv: Y
Create_priv: Y
Drop_priv: Y
Grant_priv: N
References_priv: Y
Index_priv: Y
Alter_priv: Y
Create_tmp_table_priv: Y
Lock_tables_priv: Y
Create_view_priv: Y
Show_view_priv: Y
Create_routine_priv: Y
Alter_routine_priv: N
Execute_priv: N
Event_priv: Y
Trigger_priv: Y
1 row in set (0.00 sec)
ERROR: No query specified
MariaDB [mysql]> select host,user,password from mysql.user;
+-----------+------+-------------------------------------------+
| host | user | password |
+-----------+------+-------------------------------------------+
| localhost | root | *6BB4837EB74329105EE4568DDA7DC67ED2CA2AD9 |
| secu60 | root | |
| 127.0.0.1 | root | |
| ::1 | root | |
| localhost | | | #表示匿名账户可以无密码本地登录
| secu60 | | | #表示匿名账户可以无密码从主机secu60登录
+-----------+------+-------------------------------------------+
6 rows in set (0.00 sec)
MariaDB [(none)]> select user,db from mysql.d ;
+------+---------+
| user | db |
+------+---------+
| | test | #表示匿名账户可以访问test库 拥有完全权限
| | test\_% |
+------+---------+
2 rows in set (0.00 sec)
[root@secu60 ~]# mysql -u x #匿名登录 -u后随意写
MariaDB [(none)]> show databases;
+--------------------+
| Database |
+--------------------+
| information_schema |
| test |
+--------------------+
2 rows in set (0.00 sec)
1)初始化安全脚本
[root@secu60 ~]# mysql_secure_installation #初始化安全脚本(装包起服后执行这个脚本)
Enter current password for root (enter for none):
Change the root password? [Y/n] Y 配置新的root登录密码
Remove anonymous users? [Y/n] Y 删除匿名用户
Disallow root login remotely? [Y/n] Y 禁止root远程登录
Remove test database and access to it? [Y/n] Y
Reload privilege tables now? [Y/n] Y
Thanks for using MariaDB!
2)密码安全
删除记录历史命令文件内容:
[root@secu60 ~]# vim ~/.mysql_history #记录mysql命令
[root@secu60 ~]# vim ~/.bash_history #记录命令行历史命令
[root@secu60 ~]# > ~/.bash_history #清空历史命令
3)数据备份还原
4)数据备份还原
mysql数据在网络中是明文传输的,需要安全加密。
[root@secu60 lnmp_soft]# tar -xf apache-tomcat-8.0.30.tar.gz -C /root/
[root@secu60 ~]# cd apache-tomcat-8.0.30/
[root@secu60 apache-tomcat-8.0.30]# ls
bin conf lib LICENSE logs NOTICE RELEASE-NOTES RUNNING.txt temp webapps work
[root@secu60 apache-tomcat-8.0.30]# mv * /usr/local/tomcat/
[root@secu60 apache-tomcat-8.0.30]# ls /usr/local/tomcat/
bin conf lib LICENSE logs NOTICE RELEASE-NOTES RUNNING.txt temp webapps work
[root@secu60 apache-tomcat-8.0.30]# /usr/local/tomcat/bin/startup.sh
Using CATALINA_BASE: /usr/local/tomcat
Using CATALINA_HOME: /usr/local/tomcat
Using CATALINA_TMPDIR: /usr/local/tomcat/temp
Using JRE_HOME: /usr
Using CLASSPATH: /usr/local/tomcat/bin/bootstrap.jar:/usr/local/tomcat/bin/tomcat-juli.jar
Tomcat started.
[root@secu60 ~]# echo tomcat > /usr/local/tomcat/webapps/ROOT/index.html #编辑网页
[root@secu60 ~]# curl 192.168.4.60:8080/test.html
tomcat
真机访问不存在的tomcat网页 会有报错页面 显示版本信息
1)隐藏版本信息
[root@secu60 ~]# /usr/local/tomcat/bin/shutdown.sh
[root@secu60 ~]# ss -antulp | grep 80
[root@secu60 ~]# yum -y install java-1.8.0-openjdk-devel #提供jar命令 解压jar包
[root@secu60 ~]# which jar jar包
/usr/bin/jar
[root@secu60 ~]# cd /usr/local/tomcat/lib
[root@secu60 lib]# ls
annotations-api.jar catalina.jar ecj-4.4.2.jar jasper.jar tomcat-api.jar tomcat-i18n-es.jar tomcat-jdbc.jar tomcat-util-scan.jar
catalina-ant.jar catalina-storeconfig.jar el-api.jar jsp-api.jar tomcat-coyote.jar tomcat-i18n-fr.jar tomcat-jni.jar tomcat-websocket.jar
catalina-ha.jar catalina-tribes.jar jasper-el.jar servlet-api.jar tomcat-dbcp.jar tomcat-i18n-ja.jar tomcat-util.jar websocket-api.jar
[root@secu60 lib]# jar -xf catalina.jar
[root@secu60 lib]# ls
annotations-api.jar catalina-storeconfig.jar jasper-el.jar org tomcat-dbcp.jar tomcat-jdbc.jar tomcat-websocket.jar
catalina-ant.jar catalina-tribes.jar jasper.jar servlet-api.jar tomcat-i18n-es.jar tomcat-jni.jar websocket-api.jar
catalina-ha.jar ecj-4.4.2.jar jsp-api.jar tomcat-api.jar tomcat-i18n-fr.jar tomcat-util.jar
catalina.jar el-api.jar META-INF tomcat-coyote.jar tomcat-i18n-ja.jar tomcat-util-scan.jar
修改配置文件:
[root@secu60 lib]# vim org/apache/catalina/util/ServerInfo.properties #影响浏览器访问时显示的版本信息
改前:
server.info=Apache Tomcat/8.0.30
server.number=8.0.30.0
server.built=Dec 1 2015 22:30:46 UTC
改后:
server.info=QIAOXIN
server.number=1.1.1
server.built=Dec 1 2015 22:30:46 UTC
[root@secu60 lib]# /usr/local/tomcat/bin/startup.sh
[root@secu60 lib]# vim /usr/local/tomcat/conf/server.xml #影响命令行访问的版本信息
<Connector port="8080" protocol="HTTP/1.1"
connectionTimeout="20000"
redirectPort="8443" server="qiaoxin"/>
2)降权启动
[root@secu60 tomcat]# /usr/local/tomcat/bin/shutdown.sh
[root@secu60 tomcat]# useradd qiaoxin
[root@secu60 tomcat]# chown -R qiaoxin:qiaoxin /usr/local/tomcat/
[root@secu60 tomcat]# su - qiaoxin -c "/usr/local/tomcat/bin/startup.sh" #使用非root用户启动tomcat
Using CATALINA_BASE: /usr/local/tomcat
Using CATALINA_HOME: /usr/local/tomcat
Using CATALINA_TMPDIR: /usr/local/tomcat/temp
Using JRE_HOME: /
Using CLASSPATH: /usr/local/tomcat/bin/bootstrap.jar:/usr/local/tomcat/bin/tomcat-juli.jar
Tomcat started.
[root@secu60 tomcat]# ps aux | grep java
qiaoxin 16101 1.0 5.7 2289812 58152 ? Sl 16:08 0:01 //bin/java -Djava.util.logging.config.file=/usr/local/tomcat/conf/logging.properties -Djava.util.logging.manager=org.apache.juli.ClassLoaderLogManager -Djava.endorsed.dirs=/usr/local/tomcat/endorsed -classpath /usr/local/tomcat/bin/bootstrap.jar:/usr/local/tomcat/bin/tomcat-juli.jar -Dcatalina.base=/usr/local/tomcat -Dcatalina.home=/usr/local/tomcat -Djava.io.tmpdir=/usr/local/tomcat/temp org.apache.catalina.startup.Bootstrap start
qiaoxin 16217 25.8 6.3 2291868 64048 ? Sl 16:11 0:01 //bin/java -Djava.util.logging.config.file=/usr/local/tomcat/conf/logging.properties -Djava.util.logging.manager=org.apache.juli.ClassLoaderLogManager -Djava.endorsed.dirs=/usr/local/tomcat/endorsed -classpath /usr/local/tomcat/bin/bootstrap.jar:/usr/local/tomcat/bin/tomcat-juli.jar -Dcatalina.base=/usr/local/tomcat -Dcatalina.home=/usr/local/tomcat -Djava.io.tmpdir=/usr/local/tomcat/temp org.apache.catalina.startup.Bootstrap start
root 16234 0.0 0.0 112676 984 pts/0 S+ 16:11 0:00 grep --color=auto java
[root@secu60 tomcat]# vim /etc/rc.local #设置开机启动
su -c /usr/local/tomcat/bin/startup.sh tomcat
[root@secu60 ~]# vim test1.sh
[root@secu60 ~]# sh test1.sh
hello world
[root@secu60 ~]# vim test2.sh
[root@secu60 ~]# sh test2.sh
hello world
xxx
[root@secu60 ~]# diff test1.sh test2.sh
2a3
> echo "xxx"
[root@secu60 ~]# diff -u test1.sh test2.sh #给前者test1找补丁信息
--- test1.sh 2019-01-03 16:40:59.789738195 +0800
+++ test2.sh 2019-01-03 16:43:44.844738195 +0800
@@ -1,2 +1,3 @@
#!/bin/bash
echo "hello world"
+echo "xxx"
[root@secu60 ~]# diff -u test1.sh test2.sh >bd.patch #将补丁信息存到文件bd.patch 给前者test1打补丁
[root@secu60 ~]# cat bd.patch
--- test1.sh 2019-01-03 16:40:59.789738195 +0800
+++ test2.sh 2019-01-03 16:43:44.844738195 +0800
@@ -1,2 +1,3 @@
#!/bin/bash
echo "hello world"
+echo "xxx"
[root@secu60 ~]# vim test1.sh #给test1增添一行
[root@secu60 ~]# diff -u test1.sh test2.sh
--- test1.sh 2019-01-03 16:46:19.571738195 +0800
+++ test2.sh 2019-01-03 16:43:44.844738195 +0800
@@ -1,3 +1,3 @@
#!/bin/bash
-echo hha
echo "hello world"
+echo "xxx"
2)给目录创建补丁文件
[root@secu60 ~]# mkdir /demo
[root@secu60 ~]# cd /demo/
[root@secu60 demo]# mkdir {source1,source2}
[root@secu60 demo]# ls
source1 source2
[root@secu60 demo]# echo "hello world" > source1/test.sh
[root@secu60 demo]# echo "hello the world" > source2/test.sh
[root@secu60 demo]# echo "test" >source2/tmp.txt
[root@secu60 demo]# ls source2
test.sh tmp.txt
[root@secu60 demo]# ls source1
test.sh
[root@secu60 demo]# cp /bin/find source1 给两个目录放find二进制文件
[root@secu60 demo]# cp /bin/find source2
[root@secu60 demo]# ls source1
find test.sh
[root@secu60 demo]# ls source2
find test.sh tmp.txt
[root@secu60 demo]# echo "1" >> source2/find
[root@secu60 demo]# yum -y install tree #装包 ls可以用树形结构
[root@secu60 demo]# tree /demo
/demo
├── source1
│ ├── find
│ └── test.sh
└── source2
├── find
├── test.sh
└── tmp.txt
2 directories, 5 files
[root@secu60 demo]# diff -u source1 source2
Binary files source1/find and source2/find differ #无法识别二进制文件find
diff -u source1/test.sh source2/test.sh
--- source1/test.sh 2019-01-03 17:21:52.603738195 +0800
+++ source2/test.sh 2019-01-03 17:22:05.506738195 +0800
@@ -1 +1 @@
-hello world
+hello the world
只在 source2 存在:tmp.txt
总结:find无法识别 test.sh识别了 说明了tmp只在source2里存在
[root@secu60 demo]# diff -ur source1 source2 #与上一个效果一样
Binary files source1/find and source2/find differ
diff -ur source1/test.sh source2/test.sh
--- source1/test.sh 2019-01-03 17:21:52.603738195 +0800
+++ source2/test.sh 2019-01-03 17:22:05.506738195 +0800
@@ -1 +1 @@
-hello world
+hello the world
只在 source2 存在:tmp.txt
[root@secu60 demo]# diff -uraN source1 source2 > demo.patch
[root@secu60 demo]# ls
demo.patch source1 source2
-u 输出统一内容的头部信息(打补丁使用)
-r 递归对比目录种的所有资源(对比目录)
-a 所有文件视为文本(包括二进制文件)
-N 无文件视为空文件(怎么变成第二个文件)
2.打补丁patch
1)给单个文件打补丁
[root@secu60 ~]# which patch
/usr/bin/which: no patch in (/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/root/bin)
[root@secu60 ~]# yum -y install patch #装包
[root@secu60 ~]# which patch
/usr/bin/patch
[root@secu60 ~]# ls bd* test* #补丁文件和原文件在统一路径
bd.patch test1.sh test2.sh
[root@secu60 ~]# patch -p0 < bd.patch #打补丁 0表示补丁文件和要打布丁文件的层级个数 在同一目录就是0级
patching file test1.sh
Hunk #1 succeeded at 2 with fuzz 1 (offset 1 line).
[root@secu60 ~]# cat test1.sh
#!/bin/bash
echo hha
echo "hello world"
echo "xxx"
[root@secu60 ~]# cat test2.sh
#!/bin/bash
echo "hello world"
echo "xxx"
[root@secu60 ~]# patch -RE <bd.patch #还原
patching file test1.sh
Hunk #1 succeeded at 2 with fuzz 1 (offset 1 line).
[root@secu60 ~]# cat test1.sh信息
#!/bin/bash
echo hha
echo "hello world"
[root@secu60 ~]# cat test2.sh
#!/bin/bash
echo "hello world"
echo "xxx"
2)给目录打补丁
[root@secu60 demo]# cd source1
[root@secu60 source1]# ls
find test.sh
[root@secu60 source1]# tree /demo/
/demo/
├── demo.patch
├── source1
│ ├── find
│ └── test.sh
└── source2
├── find
├── test.sh
└── tmp.txt
2 directories, 6 files
[root@secu60 source1]# patch -p1 < ../demo.patch # ..上一级
patching file find
patching file test.sh
patching file tmp.txt
[root@secu60 source1]# ls #补丁后 多了tmp.txt
find test.sh tmp.txt
[root@secu60 source1]# cat tmp.txt
test
[root@secu60 demo]# cat source1/test.sh
hello the world
[root@secu60 demo]# cat source2/test.sh
hello the world
1 案例1:部署audit监控文件
1.1 问题
本案例要求熟悉audit审计工具的基本使用,完成以下任务操作:
- 使用audit监控/etc/ssh/sshd_config
- 当该文件发生任何变化即记录日志
- 通过手动和ausearch工具查看日志内容
1.2 方案
审计的目的是基于事先配置的规则生成日志,记录可能发生在系统上的事件(正常或非正常行为的事件),审计不会为系统提供额外的安全保护,但她会发现并记录违反安全策略的人及其对应的行为。
审计能够记录的日志内容:
a) 日期与事件以及事件的结果
b) 触发事件的用户
c) 所有认证机制的使用都可以被记录,如ssh等
d) 对关键数据文件的修改行为等都可以被记录
1.3 步骤
实现此案例需要按照如下步骤进行。
步骤一:配置audit审计系统
1)安装软件包,查看配置文件(确定审计日志的位置)
- [root@proxy ~]# yum -y install audit //安装软件包
- [root@proxy ~]# cat /etc/audit/auditd.conf //查看配置文件,确定日志位置
- log_file = /var/log/audit/audit.log //日志文件路径
- [root@proxy ~]# systemctl start auditd //启动服务
- [root@proxy ~]# systemctl enable auditd //设置开机自启
2)配置审计规则
可以使用auditctl命令控制审计系统并设置规则决定哪些行为会被记录日志。
语法格式如下:
- [root@proxy ~]# auditctl -s //查询状态
- [root@proxy ~]# auditctl -l //查看规则
- [root@proxy ~]# auditctl -D //删除所有规则
定义临时文件系统规则:
- #语法格式:auditctl -w path -p permission -k key_name
- # path为需要审计的文件或目录
- # 权限可以是r,w,x,a(文件或目录的属性发生变化)
- # Key_name为可选项,方便识别哪些规则生成特定的日志项
- [root@proxy ~]# auditctl -w /etc/passwd -p wa -k passwd_change
- //设置规则所有对passwd文件的写、属性修改操作都会被记录审计日志
- [root@proxy ~]# auditctl -w /etc/selinux/ -p wa -k selinux_change
- //设置规则,监控/etc/selinux目录
- [root@proxy ~]# auditctl -w /usr/sbin/fdisk -p x -k disk_partition
- //设置规则,监控fdisk程序
- [root@proxy ~]# auditclt -w /etc/ssh/sshd_conf -p warx -k sshd_config
- //设置规则,监控sshd_conf文件
如果需要创建永久审计规则,则需要修改规则配置文件:
- [root@proxy ~]# vim /etc/audit/rules.d/audit.rules
- -w /etc/passwd -p wa -k passwd_changes
- -w /usr/sbin/fdisk -p x -k partition_disks
步骤二:查看并分析日志
1)手动查看日志
查看SSH的主配置文件/etc/ssh/sshd_conf,查看audit日志信息:
- [root@proxy ~]# tailf /var/log/audit/audit.log
- type=SYSCALL msg=audit(1517557590.644:229228): arch=c000003e
- syscall=2 success=yes exit=3
- a0=7fff71721839 a1=0 a2=1fffffffffff0000 a3=7fff717204c0
- items=1 ppid=7654 pid=7808 auid=0 uid=0 gid=0 euid=0 suid=0
- fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts2 ses=3 comm="cat"
- exe="/usr/bin/cat"
- subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key="sshd_config"
- .. ..
- #内容分析
- # type为类型
- # msg为(time_stamp:ID),时间是date +%s(1970-1-1至今的秒数)
- # arch=c000003e,代表x86_64(16进制)
- # success=yes/no,事件是否成功
- # a0-a3是程序调用时前4个参数,16进制编码了
- # ppid父进程ID,如bash,pid进程ID,如cat命令
- # auid是审核用户的id,su - test, 依然可以追踪su前的账户
- # uid,gid用户与组
- # tty:从哪个终端执行的命令
- # comm="cat" 用户在命令行执行的指令
- # exe="/bin/cat" 实际程序的路径
- # key="sshd_config" 管理员定义的策略关键字key
- # type=CWD 用来记录当前工作目录
- # cwd="/home/username"
- # type=PATH
- # ouid(owner\'s user id) 对象所有者id
- # guid(owner\'s groupid) 对象所有者id
2)通过工具搜索日志
系统提供的ausearch命令可以方便的搜索特定日志,默认该程序会搜索/var/log/audit/audit.log,ausearch options -if file_name可以指定文件名。
- [root@proxy ~]# ausearch -k sshd_config -i
- //根据key搜索日志,-i选项表示以交互式方式操作
2 案例2:加固常见服务的安全
2.1 问题
本案例要求优化提升常见网络服务的安全性,主要完成以下任务操作:
- 优化Nginx服务的安全配置
- 优化MySQL数据库的安全配置
- 优化Tomcat的安全配置
2.2 方案
Nginx安全优化包括:删除不要的模块、修改版本信息、限制并发、拒绝非法请求、防止buffer溢出。
MySQL安全优化包括:初始化安全脚本、密码安全、备份与还原、数据安全。
Tomcat安全优化包括:隐藏版本信息、降权启动、删除默认测试页面.
2.3 步骤
实现此案例需要按照如下步骤进行。
步骤一:优化Nginx服务的安全配置
1) 删除不需要的模块
Nignx是模块化设计的软件,需要什么功能与模块以及不需要哪些模块,都可以在编译安装软件时自定义,使用--with参数可以开启某些模块,使用--without可以禁用某些模块。最小化安装永远都是对的方案!
下面是禁用某些模块的案例:
- [root@proxy ~]# tar -xf nginx-1.12.tar.gz
- [root@proxy ~]# cd nginx-1.12
- [root@proxy nginx-1.12]# ./configure \
- >--without-http_autoindex_module \ //禁用自动索引文件目录模块
- >--without-http_ssi_module
- [root@proxy nginx-1.12]# make
- [root@proxy nginx-1.12]# make install
2) 修改版本信息,并隐藏具体的版本号
默认Nginx会显示版本信息以及具体的版本号,这些信息给攻击者带来了便利性,便于他们找到具体版本的漏洞。
如果需要屏蔽版本号信息,执行如下操作,可以隐藏版本号。
- [root@proxy ~]# vim /usr/local/nginx/conf/nginx.conf
- … …
- http{
- server_tokens off; //在http下面手动添加这么一行
- … …
- }
- [root@proxy ~]# nginx -s reload
- [root@proxy ~]# curl -I http://192.168.4.5 //查看服务器响应的头部信息
但服务器还是显示了使用的软件为nginx,通过如下方法可以修改该信息。
- [root@proxy nginx-1.12]# vim +48 src/http/ngx_http_header_filter_module.c
- //注意:vim这条命令必须在nginx-1.12源码包目录下执行!!!!!!
- //该文件修改前效果如下:
- static u_char ngx_http_server_string[] = "Server: nginx" CRLF;
- static u_char ngx_http_server_full_string[] = "Server: " NGINX_VER CRLF;
- static u_char ngx_http_server_build_string[] = "Server: " NGINX_VER_BUILD CRLF;
- //下面是我们修改后的效果:
- static u_char ngx_http_server_string[] = "Server: Jacob" CRLF;
- static u_char ngx_http_server_full_string[] = "Server: Jacob" CRLF;
- static u_char ngx_http_server_build_string[] = "Server: Jacob" CRLF;
- //修改完成后,再去编译安装Nignx,版本信息将不再显示为Nginx,而是Jacob
- [root@proxy nginx-1.12]# ./configure
- [root@proxy nginx-1.12]# make && make install
- [root@proxy nginx-1.12]# killall nginx
- [root@proxy nginx-1.12]# /usr/local/nginx/sbin/nginx //启动服务
- [root@proxy nginx-1.12]# curl -I http://192.168.4.5 //查看版本信息验证
3) 限制并发量
DDOS攻击者会发送大量的并发连接,占用服务器资源(包括连接数、带宽等),这样会导致正常用户处于等待或无法访问服务器的状态。
Nginx提供了一个ngx_http_limit_req_module模块,可以有效降低DDOS攻击的风险,操作方法如下:
- [root@proxy ~]# vim /usr/local/nginx/conf/nginx.conf
- … …
- http{
- … …
- limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;
- server {
- listen 80;
- server_name localhost;
- limit_req zone=one burst=5;
- }
- }
- //备注说明:
- //limit_req_zone语法格式如下:
- //limit_req_zone key zone=name:size rate=rate;
- //上面案例中是将客户端IP信息存储名称为one的共享内存,内存空间为10M
- //1M可以存储8千个IP信息,10M可以存储8万个主机连接的状态,容量可以根据需要任意调整
- //每秒中仅接受1个请求,多余的放入漏斗
- //漏斗超过5个则报错
- [root@proxy ~]# /usr/local/nginx/sbin/nginx -s reload
客户端使用ab测试软件测试效果:
- [root@client ~]# ab -c 100 -n 100 http://192.168.4.5/
4) 拒绝非法的请求
网站使用的是HTTP协议,该协议中定义了很多方法,可以让用户连接服务器,获得需要的资源。但实际应用中一般仅需要get和post。
具体HTTP请求方法的含义如表-1所示。
表-1 HTTP请求方法及含义
未修改服务器配置前,客户端使用不同请求方法测试:
- [root@client ~]# curl -i -X GET http://192.168.4.5 //正常
- [root@client ~]# curl -i -X HEAD http://192.168.4.5 //正常
- //curl命令选项说明:
- //-i选项:访问服务器页面时,显示HTTP的头部信息
- //-X选项:指定请求服务器的方法
通过如下设置可以让Nginx拒绝非法的请求方法:
- [root@proxy ~]# vim /usr/local/nginx/conf/nginx.conf
- http{
- server {
- listen 80;
- #这里,!符号表示对正则取反,~符号是正则匹配符号
- #如果用户使用非GET或POST方法访问网站,则retrun返回444的错误信息
- if ($request_method !~ ^(GET|POST)$ ) {
- return 444;
- }
- }
- }
- [root@proxy ~]# /usr/local/nginx/sbin/nginx -s reload
修改服务器配置后,客户端使用不同请求方法测试:
- [root@client ~]# curl -i -X GET http://192.168.4.5 //正常
- [root@client ~]# curl -i -X HEAD http://192.168.4.5 //报错
4) 防止buffer溢出
当客户端连接服务器时,服务器会启用各种缓存,用来存放连接的状态信息。
如果攻击者发送大量的连接请求,而服务器不对缓存做限制的话,内存数据就有可能溢出(空间不足)。
修改Nginx配置文件,调整各种buffer参数,可以有效降低溢出风险。
- [root@proxy ~]# vim /usr/local/nginx/conf/nginx.conf
- http{
- client_body_buffer_size 1K;
- client_header_buffer_size 1k;
- client_max_body_size 1k;
- large_client_header_buffers 2 1k;
- … …
- }
- [root@proxy ~]# /usr/local/nginx/sbin/nginx -s reload
步骤二:数据库安全
1) 初始化安全脚本
安装完MariaDB或MySQL后,默认root没有密码,并且提供了一个任何人都可以操作的test测试数据库。有一个名称为mysql_secure_installation的脚本,该脚本可以帮助我们为root设置密码,并禁止root从远程其他主机登陆数据库,并删除测试性数据库test。
- [root@proxy ~]# systemctl status mariadb
- //确保服务已启动
- [root@proxy ~]# mysql_secure_installation
- //执行初始化安全脚本
2)密码安全
手动修改MariaDB或MySQL数据库密码的方法:
- [root@proxy ~]# mysqladmin -uroot -predhat password \'mysql\'
- //修改密码,旧密码为redhat,新密码为mysql
- [root@proxy ~]# mysql -uroot -pmysql
- MariaDB [(none)]>set password for root@\'localhost\'=password(\'redhat\');
- //使用账户登录数据库,修改密码
- MariaDB [(none)]> select user,host,password from mysql.user;
- +--------+---------+---------------------------------------------+
- | user | host | password |
- +--------+---------+---------------------------------------------+
- | root | localhost | *84BB5DF4823DA319BBF86C99624479A198E6EEE9 |
- | root | 127.0.0.1 | *84BB5DF4823DA319BBF86C99624479A198E6EEE9 |
- | root | ::1 | *84BB5DF4823DA319BBF86C99624479A198E6EEE9 |
- +--------+-----------+--------------------------------------------+
修改密码成功,而且密码在数据库中是加密的,有什么问题吗?问题是你的密码被明文记录了,下面来看看明文密码:
- [root@proxy ~]# cat .bash_history
- mysqladmin -uroot -pxxx password \'redhat\'
- //通过命令行修改的密码,bash会自动记录历史,历史记录中记录了明文密码
- [root@proxy ~]# cat .mysql_history
- set password for root@\'localhost\'=password(\'redhat\');
- select user,host,password from mysql.user;
- flush privileges;
- //通过mysql命令修改的密码,mysql也会有所有操作指令的记录,这里也记录了明文密码
另外数据库还有一个binlog日志里也有明文密码(5.6版本后修复了)。
怎么解决?
管理好自己的历史,不使用明文登录,选择合适的版本5.6以后的版本,
日志,行为审计(找到行为人),使用防火墙从TCP层设置ACL(禁止外网接触数据库)。
3)数据备份与还原
首先,备份数据库(注意用户名为root,密码为redhat):
- [root@proxy ~]# mysqldump -uroot -predhat mydb table > table.sql
- //备份数据库中的某个数据表
- [root@proxy ~]# mysqldump -uroot -predhat mydb > mydb.sql
- //备份某个数据库
- [root@proxy ~]# mysqldump -uroot -predhat --all-databases > all.sql
- //备份所有数据库
接下来,还原数据库(注意用户名为root,密码为redhat):
- [root@proxy ~]# mysql -uroot -predhat mydb < table.sql //还原数据表
- [root@proxy ~]# mysql -uroot -predhat mydb < mydb.sql //还原数据库
- [root@proxy ~]# mysql -uroot -predhat < all.sql //还原所有数据库
4)数据安全
在服务器上(192.168.4.5),创建一个数据库账户:
- [root@proxy ~]# mysql -uroot -predhat
- //使用管理员,登陆数据库
- MariaDB [(none)]> grant all on *.* to tom@\'%\' identified by \'123\';
- //创建一个新账户tom
使用tcpdump抓包(192.168.4.5)
- [root@proxy ~]# tcpdump -w log -i any src or dst port 3306
- //抓取源或目标端口是3306的数据包,保存到log文件中
客户端(192.168.4.100)从远程登陆数据库服务器(192.168.4.5)
- [root@client ~]# mysql -utom -p123 -h 192.168.4.5
- //在192.168.4.100这台主机使用mysql命令登陆远程数据库服务器(192.168.4.5)
- //用户名为tom,密码为123
- MariaDB [(none)]> select * from mysql.user;
- //登陆数据库后,任意执行一条查询语句
回到服务器查看抓取的数据包
- [root@proxy ~]# tcpdump -A -r log
- //使用tcpdump查看之前抓取的数据包,很多数据库的数据都明文显示出来
如何解决?
可以使用SSH远程连接服务器后,再从本地登陆数据库(避免在网络中传输数据,因为网络环境中不知道有没有抓包者)。
或者也可以使用SSL对MySQL服务器进行加密,类似与HTTP+SSL一样,MySQL也支持SSL加密(确保网络中传输的数据是被加密的)。
步骤三:Tomcat安全性
1) 隐藏版本信息、修改tomcat主配置文件(隐藏版本信息)
未修改版本信息前,使用命令查看服务器的版本信息
注意:proxy有192.168.2.5的IP地址,这里使用proxy作为客户端访问192.168.2.100服务器。
- [root@proxy ~]# curl -I http://192.168.2.100:8080/xx
- //访问不存在的页面文件,查看头部信息
- [root@proxy ~]# curl -I http://192.168.2.100:8080
- //访问存在的页面文件,查看头部信息
- [root@proxy ~]# curl http://192.168.2.100:8080/xx
- //访问不存在的页面文件,查看错误信息
修改tomcat配置文件,修改版本信息(在192.168.2.100操作):
- [root@web1 tomcat]# yum -y install java-1.8.0-openjdk-devel
- [root@web1 tomcat]# cd /usr/local/tomcat/lib/
- [root@web1 lib]# jar -xf catalina.jar
- [root@web1 lib]# vim org/apache/catalina/util/ServerInfo.properties
- //根据自己的需要,修改版本信息的内容
- [root@web1 lib]# /usr/local/tomcat/bin/shutdown.sh //关闭服务
- [root@web1 lib]# /usr/local/tomcat/bin/startup.sh //启动服务
修改后,客户端再次查看版本信息(在192.168.2.5操作):
- [root@proxy ~]# curl -I http://192.168.2.100:8080/xx
- //访问不存在的页面文件,查看头部信息
- [root@proxy ~]# curl -I http://192.168.2.100:8080
- //访问存在的页面文件,查看头部信息
- [root@proxy ~]# curl http://192.168.2.100:8080/xx
- //访问不存在的页面文件,查看错误信息
再次修改tomcat服务器配置文件,修改版本信息,手动添加server参数(在192.168.2.100操作):
- [root@web1 lib]# vim /usr/local/tomcat/conf/server.xml
- <Connector port="8080" protocol="HTTP/1.1"
- connectionTimeout="20000" redirectPort="8443" server="jacob" />
- [root@web1 lib]# /usr/local/tomcat/bin/shutdown.sh //关闭服务
- [root@web1 lib]# /usr/local/tomcat/bin/startup.sh //启动服务
修改后,客户端再次查看版本信息(在192.168.2.5操作):
- [root@proxy ~]# curl -I http://192.168.2.100:8080/xx
- //访问不存在的页面文件,查看头部信息
- [root@proxy ~]# curl -I http://192.168.2.100:8080
- //访问存在的页面文件,查看头部信息
- [root@proxy ~]# curl http://192.168.2.100:8080/xx
- //访问不存在的页面文件,查看错误信息
2)降级启动
默认tomcat使用系统高级管理员账户root启动服务,启动服务尽量使用普通用户。
- [root@web1 ~]# useradd tomcat
- [root@web1 ~]# chown -R tomcat:tomcat /usr/local/tomcat/
- //修改tomcat目录的权限,让tomcat账户对该目录有操作权限
- [root@web1 ~]# su -c /usr/local/tomcat/bin/startup.sh tomcat
- //使用su命令切换为tomcat账户,以tomcat账户的身份启动tomcat服务
- [root@web1 ~]# chmod +x /etc/rc.local //该文件为开机启动文件
- [root@web1 ~]# vim /etc/rc.local //修改文件,添加如下内容
- su -c /usr/local/tomcat/bin/startup.sh tomcat
3)删除默认的测试页面
- [root@web1 ~]# rm -rf /usr/local/tomcat/webapps/*
3 案例3:使用diff和patch工具打补丁
3.1 问题
本案例要求优化提升常见网络服务的安全性,主要完成以下任务操作:
- 使用diff对比文件差异
- 使用diff生成补丁文件
- 使用patch命令为旧版本打补丁
3.2 方案
程序是人设计出来的,总是会有这样那样的问题与漏洞,目前的主流解决方法就是为有问题的程序打补丁,升级新版本。
在Linux系统中diff命令可以为我们生成补丁文件,然后使用patch命令为有问题的程序代码打补丁。
3.3 步骤
实现此案例需要按照如下步骤进行。
步骤一:对比单个文件差异
1) 编写两个版本的脚本,一个为v1版本,一个为v2版本。
- [root@proxy ~]# cat test1.sh //v1版本脚本
- #!/bin/bash
- echo "hello wrld"
- [root@proxy ~]# cat test2.sh //v2版本脚本
- #!/bin/bash
- echo "hello the world"
- echo "test file"
2) 使用diff命令语法
使用diff命令查看不同版本文件的差异。
- [root@proxy ~]# diff test1.sh test2.sh //查看文件差异
- @@ -1,3 +1,3 @@
- #!/bin/bash
- -echo "hello world"
- -echo "test"
- +echo "hello the world"
- +echo "test file"
- [root@proxy ~]# diff -u test1.sh test2.sh //查看差异,包含头部信息
- --- test1.sh 2018-02-07 22:20:02.723971251 +0800
- +++ test2.sh 2018-02-07 22:20:13.358760687 +0800
- @@ -1,3 +1,3 @@
- #!/bin/bash
- -echo "hello world"
- -echo "test"
- +echo "hello the world"
- +echo "test file"
diff制作补丁文件的原理:告诉我们怎么修改第一个文件后能得到第二个文件。
这样如果第一个版本的脚本有漏洞,我们不需要将整个脚本都替换,仅需要修改有问题的一小部分代码即可,diff刚好可以满足这个需求!
像Linux内核这样的大块头,一旦发现有一个小漏洞,我们不可能把整个内核都重新下载,全部替换一遍,而仅需要更新有问题的那一小部分代码即可!
diff命令常用选项:
-u 输出统一内容的头部信息(打补丁使用),计算机知道是哪个文件需要修改
-r 递归对比目录中的所有资源(可以对比目录)
-a 所有文件视为文本(包括二进制程序)
-N 无文件视为空文件(空文件怎么变成第二个文件)
-N选项备注说明:
A目录下没有txt文件,B目录下有txt文件
diff比较两个目录时,默认会提示txt仅在B目录有(无法对比差异,修复文件)
diff比较时使用N选项,则diff会拿B下的txt与A下的空文件对比,补丁信息会明确说明如何从空文件修改后变成txt文件,打补丁即可成功!
步骤二:使用patch命令对单文件代码打补丁
1)准备实验环境
- [root@proxy ~]# cd demo
- [root@proxy demo]# vim test1.sh
- #!/bin/bash
- echo "hello world"
- echo "test"
- [root@proxy demo]# vim test2.sh
- #!/bin/bash
- echo "hello the world"
- echo "test file"
2) 生成补丁文件
- [root@proxy demo]# diff -u test1.sh test2.sh > test.patch
3)使用patch命令打补丁
在代码相同目录下为代码打补丁
- [root@proxy demo]# yum -y install patch
- [root@proxy demo]# patch -p0 < test.patch //打补丁
- patching file test1.sh
- //patch -pnum(其中num为数字,指定删除补丁文件中多少层路径前缀)
- //如原始路径为/u/howard/src/blurfl/blurfl.c
- //-p0则整个路径不变
- //-p1则修改路径为u/howard/src/blurfl/blurfl.c
- //-p4则修改路径为blurfl/blurfl.c
- //-R(reverse)反向修复,-E修复后如果文件为空,则删除该文件
- [root@proxy demo]# patch -RE < test.patch //还原旧版本,反向修复
步骤三:对比目录中所有文件的差异
1) 准备实验环境
- [root@proxy ~]# mkdir demo
- [root@proxy ~]# cd demo
- [root@proxy demo]# mkdir {source1,source2}
- [root@proxy demo]# echo "hello world" > source1/test.sh
- [root@proxy demo]# cp /bin/find source1/
- [root@proxy demo]# tree source1/ //source1目录下2个文件
- |-- find
- `-- test.sh
- [root@proxy demo]# echo "hello the world" > source2/test.sh
- [root@proxy demo]# echo "test" > source2/tmp.txt
- [root@proxy demo]# cp /bin/find source2/
- [root@proxy demo]# echo "1" >> source2/find
- [root@proxy demo]# tree source2/ //source1目录下3个文件
- |-- find
- |-- test.sh
- `-- tmp.txt
- //注意:两个目录下find和test.sh文件内容不同,source2有tmp.txt而source1没有该文件
2)制作补丁文件
- [root@proxy demo]# diff -u source1/ source2/
- //仅对比了文本文件test.sh;二进制文件、tmp都没有对比差异,仅提示,因为没有-a和-N选项
- [root@proxy demo]# diff -Nu source1/ source2/
- //对比了test.sh,并且使用source2目录的tmp.txt与source1的空文件对比差异。
- [root@proxy demo]# diff -Nua source1/ source2/
- //对比了test.sh、tmp.txt、find(程序)。
步骤四:使用patch命令对目录下的所有代码打补丁
1)使用前面创建的source1和source2目录下的代码为素材,生成补丁文件
- [root@proxy ~]# cd demo
- [root@proxy demo]# diff -Nuar source1/ source2/ > source.patch
2)使用patch命令为代码打补丁
- [root@proxy demo]# ls
- source1 source2 source.patch
- [root@proxy demo]# cat source.patch //对比的文件有路径信息
- --- source1/test.sh 2018-02-07 22:51:33.034879417 +0800
- +++ source2/test.sh 2018-02-07 22:47:32.531754268 +0800
- @@ -1 +1 @@
- -hello world
- +hello the world
- [root@proxy demo]# cd source1
- [root@proxy source1]# patch -p1 < ../source.patch