Jakie usługi są aktywne, czy wszystkie są potrzebne?
Aby zobaczyć usługi, które mamy aktywne, możesz skorzystać z polecenie netstat. Na przykład z połączenia SSH:
root @ serwer1: ~ # netstat -aPokazuje nam wszystkie aktywne usługi i nasłuchuje odbierania użytkowników lub połączeń, tutaj widzimy takie jak Apache (http) do obsługi stron internetowych, smtp usługa wysyłania e-maili, ftp do przesyłania plików.
Możesz zatrzymać usługę, jeśli jest niepotrzebna lub zajmuje dużo pamięci lub procesora, do tego możemy zobaczyć zużycie za pomocą polecenia:
root @ serwer1: ~ # ps aux --sort cputime
Tutaj możemy zobaczyć Mysql, antywirus Clamav, Y Gołębnik jest serwerem IMAP i POP3 typu open source. Tutaj widzimy proces wykonywany przez nas wcześniej, ważne jest, aby nie pomylić kolumny START, która ma daty i godziny, wskazuje, w którym dniu lub godzinie rozpoczęto operację.
Następnie, aby zatrzymać przykładową usługę Mysql:
/etc/init.d/mysql restart /etc/init.d/mysql stop /etc/init.d/mysql startPrzykład użycia poleceń w bezpieczeństwie serwerów Linux, użyjemy niektórych poleceń do wykrywania i zapobiegania atakom typu „odmowa usług”, które są najczęstsze.
A atak typu „odmowa usługi” (atak DoS) lub Rozproszone ataki typu „odmowa usługi” (atak DDoS) jest to próba uczynienia zasobu serwera niedostępnym dla jego użytkowników.
1) Wykryj atak
Głównym objawem jest to, że serwer staje się bardzo powolny lub „usługi nie działają”, przestają działać z powodu generowanych nadmiernych połączeń, serwer nie może odpowiedzieć.
Użyjemy polecenie „netstat”.
Pokazuje nam aktywne połączenia na porcie 80.
root @ serwer1: ~ # netstat -an | grp: 80 | sortować
Tutaj widzimy, że jedno z aktywnych adresów IP, które odpytuje nasz serwer, ma 5000 połączeń, podczas gdy można powiedzieć, że normalne byłoby około 20 lub 30 połączeń na ip. Moglibyśmy wtedy podejrzewać atak DDOS, ponieważ zużycie zasobów
2) Pierwszą rzeczą będzie zablokowanie ip atakującego za pomocą Iptables
Iptables to nazwa narzędzia przestrzeni użytkownika, za pomocą którego administrator może zdefiniować zasady filtrowania ruchu krążącego w sieci.
root @ serwer1: ~ # iptables -I INPUT -s 74,6,73,22 -j DROPZ tym się zawiesza.
3) Zainstaluj mod_evasive dla Apache
Mod wymijający to moduł dla Apache, który jest odpowiedzialny za zapewnienie dodatkowego poziomu bezpieczeństwa naszemu bardzo wydajnemu i konfigurowalnemu serwerowi WWW.
W przykładzie zrobimy to dla Centosa, ale można go dostosować do dowolnego Linuksa z Apache.
Instalujemy zależności z ssh
root @ serwer1: ~ # cd / usr / src root @ serwer1: ~ # wget http://www.zdziarski.com/projects/mod_evasive/mod_evasive_1.10.1.tar.gz root @ serwer1: ~ # tar zxvf mod_evasive_1.10.1 .tar.gz root @ serwer1: ~ # cd mod_evasive root @ serwer1: ~ # apxs -cia mod_evasive20.c # dla Apache 1.3 polecenie to apxs -cia mod_evasive.c root @ serwer1: ~ # vi / etc / httpd / conf /httpd.conf # edytujemy konfigurację roota @ server1: ~ # service httpd restart # restartujemy ApacheW /etc/httpd/conf/httpd.conf należy dodać następujące wiersze.
DOSHashTableSize 3097 DOSPageCount 2 DOSSiteCount 50 DOSPageInterval 1 DOSSiteInterval 1 DOSBlockingPeriod 300Ważne parametry
- DOSPageCount: liczba połączeń, które użytkownik może wykonać na sekundę, zanim jego adres IP zostanie zablokowany.
- Liczba stron DOSSite: ile żądań użytkownik może złożyć, zanim zostanie zablokowany.
- Okres blokowania DOS: jak długo w sekundach potrwa blokowanie tego adresu IP.