良玉的博客 点点滴滴,积水成河_良玉的博客_页游、手游linux运维工程师之路

Linux服务器安全初始化Shell脚本

  下面的这段Linux系统安全Shell脚本用于Linux系统的安全初始化脚本,可以在服务器系统安装完毕之后立即执行以快速建立起服务器的安全防护。最初的脚本由晓辉撰写,在数次修改之后已经大量应用在某大型媒体网站...

阅读全文...

LNMP虚拟主机安全配置

1、背景


众所周知,虚拟主机的安全不好做,特别是防止跨目录成为了重点。apache+php服务器防止跨目录的方式比较简单,网上的所有成熟虚拟主机解决方案都是基于apache的,如directadmin、cpanel。

但如今已然不是apache的时代了,在linux+nginx+mysql+php下怎么防止不同虚拟主机进行跨站?

阅读全文...

从内存中窃取未加密的SSH-agent密钥

一、 背景


如果你曾经使用过SSH密钥来管理多台设备,那么你很可能已经用过SSH-agent了。这个工具是用来在内存中保存SSH密钥的,这样用户就不需要每次都输入他们的口令了。然而,这可能招致一些安全威胁。一个以root权限运行的用户可能足以从内存中取出解密后的SSH密钥并重新构造。 由于需要root权限,这个攻击看上去很鸡肋。比如说,一个攻击者可以安装一个键盘记录器并用之获取SSH密钥。然而,这样会导致攻击者必须等待目标输入他们SSH密钥的口令。这可能要花上几个小时,几天,甚至几个星期,取决于目标登出的频率。这也是从内存中获取SSH密钥为什么对于迅速拿下其他机器非常重要


阅读全文...

openSUSE下Fail2ban安装与使用

一、简介

Fail2ban可以监视你的系统日志,然后匹配日志的错误信息(正则式匹配)执行相应的屏蔽动作(一般情况下是防火墙),例如当有人在试探你的SSH、SMTP、FTP密码,只要达到你预设的次数,fail2ban就会调用防火墙屏蔽这个IP,而且可以发送e-mail通知系统管理员,是一款很实用、很强大的IP自动屏蔽工具

Fail2Ban scans log files like /var/log/pwdfail and bans IP that makes too many password failures. It updates firewall rules to reject the IP address. These rules can be defined by the user. Fail2Ban can read multiple log files such as sshd or Apache web server ones.
More documentation, FAQ, HOWTOs are available on the project website:http://www.fail2ban.org


阅读全文...

Linux运维安全小结

文章偏向运维安全多些,不会很具体,主要是关键词总结,以CentOS为例:
0x01  物理防护
1.引导grub.conf 添加密码

1
2
3
4
5
6
title xxx linux server
        root (hd0,0)
        password 123321 //易启动时被看到明文
title xxx linux server
        root (hd0,0)
        password --md5 $1$xxxxxxxxxxxxxxx //推荐配置


阅读全文...

Nginx安全配置

一、 测试环境


操作系统:CentOS6.5
Web服务器:Nginx1.4.6
Php版本:Php5.4.26


二、 Nginx介绍


nginx本身不能处理PHP,它只是个web服务器,当接收到请求后,如果是php请求,则发给php解释器处理,并把结果返回给客户端。nginx一般是把请求发fastcgi管理进程处理,fastcgi管理进程选择cgi子进程处理结果并返回被nginx。


阅读全文...

Mysql安全配置

一、 前言


很多文章中会说,数据库的权限按最小权限为原则,这句话本身没有错,但是却是一句空话。因为最小权限,这个东西太抽象,很多时候你并弄不清楚具体他需要哪些权限。 现在很多mysql用着root账户在操作,并不是大家不知道用root权限太大不安全,而是很多人并不知道该给予什么样的权限既安全又能保证正常运行。所以,本文更多的是考虑这种情况下,我们该如何简单的配置一个安全的mysql。注:本文测试环境为mysql-5.6.4

阅读全文...

通过nginx配置文件抵御攻击

一、 前言

这次我们来讲讲如何通过简单的配置文件来实现nginx防御攻击的效果。

其实很多时候,各种防攻击的思路我们都明白,比如限制IP啊,过滤攻击字符串啊,识别攻击指纹啦。可是要如何去实现它呢?用守护脚本吗?用PHP在外面包一层过滤?还是直接加防火墙吗?这些都是防御手段。不过本文将要介绍的是直接通过nginx的普通模块和配置文件的组合来达到一定的防御效果。


阅读全文...

Rsync匿名访问及安全配置

一、 Rsync简介


Rsync,remote synchronize顾名思意就知道它是一款实现远程同步功能的软件,它在同步文件的同时,可以保持原来文件的权限、时间、软硬链接等附加信息。

rsync是用 “rsync 算法”提供了一个客户机和远程文件服务器的文件同步的快速方法,而且可以通过ssh方式来传输文件,这样其保密性也非常好,另外它还是免费的软件。

rsync 包括如下的一些特性:

能更新整个目录和树和文件系统;

阅读全文...

MongoDB安全配置

一、 MongoDB权限介绍


1.MongoDB安装时不添加任何参数,默认是没有权限验证的,登录的用户可以对数据库任意操作而且可以远程访问数据库,需以--auth参数启动。

2.在刚安装完毕的时候MongoDB都默认有一个admin数据库,此时admin数据库是空的,没有记录权限相关的信息。当admin.system.users一个用户都没有时,即使mongod启动时添加了--auth参数,如果没有在admin数据库中添加用户,此时不进行任何认证还是可以做任何操作(不管是否是以--auth 参数启动),直到在admin.system.users中添加了一个用户。

阅读全文...

Web 渗透检测工具 - Zed Attack Proxy

Zed Attack Proxy (Zaproxy) 是一个渗透测试工具,用来使Web应用更安全。虽然 ZAP 可以自动检测一些安全问题,它主要用于手动帮助您寻找安全漏洞。

项目地址:https://code.google.com/p/zaproxy/

下载运行后,可以检查出很多报警,这是我检查自己搭建的web查出来的警报:

阅读全文...

Win2003 防木马、权限设置、IIS服务器安全配置整理

 一、系统的安装   

1、按照Windows2003安装光盘的提示安装,默认情况下2003没有把IIS6.0安装在系统里面。
2、IIS6.0的安装
  开始菜单—>控制面板—>添加或删除程序—>添加/删除Windows组件
  应用程序 ———ASP.NET(可选)

阅读全文...

SQL注入防范总结

1.首先我会检查一下服务器配置,重新配置一次服务器安全,可以参考

http://blog.uouo123.com/post/256.html


2.其次,用麦咖啡自定义策略,即使网站程序有漏洞,别人也很难在文件上写入代码了。
 参考自定义策略,有了这个策略,再烂的程序,你也无法写入我的文件


阅读全文...

保护Linux服务器的多个方面

Ubuntu服务器设计优良,并有定期更新,相对来说是比较安全的,Ubuntu安全团队表示会不断努力,保护Ubuntu的安全,将会定期提供安全更新。

· 不打开端口

· 基于角色的管理

· 无X服务器

· 安全更新

· 内核和编译器保护


阅读全文...