标签:服务器漏洞

怎么检查自己linux服务器漏洞

No Comments Linux

以自己的邮件服务器举例说明,系统的默认策略就为INPUT为DROP,OUTPUT为ACCEPT,FORWARD为DROP,定义一个防火墙规则,即/root/firewall.sh,,放进开机脚本里,即目录/etc/rc.d/rc.local,/root/firewall.sh脚本如下:

  1. #/bin/sh
  2. iptables -F INPUT
  3. iptables -A INPUT -i lo -j ACCEPT
  4. iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
  5. # http/https, smtp/smtps, pop3/pop3s, imap/imaps, ssh,ftp
  6. iptables -A INPUT -p tcp -m multiport –dport 80,443,25,465,110,995,143,993,587,465,22
  7. -j ACCEPT

复制代码

[root@mail postfix]# nmap -P0 -sS 211.143.6.X

  1. Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2009-03-29 16:21 CST
  2. Interesting ports on 211.143.6.X:
  3. Not shown: 1668 closed ports
  4. PORT     STATE SERVICE
  5. 22/tcp   open  ssh
  6. 25/tcp   open  smtp
  7. 80/tcp   open  http
  8. 110/tcp  open  pop3
  9. 111/tcp  open  rpcbind
  10. 143/tcp  open  imap
  11. 443/tcp  open  https
  12. 465/tcp  open  smtps
  13. 587/tcp  open  submission
  14. 993/tcp  open  imaps
  15. 995/tcp  open  pop3s
  16. 1014/tcp open  unknown

复制代码

lsof -i:1014,发现又是rpc.statd,这东东,每次用的端口都不一样啊;它不能正确处理SIGPID信号,远程攻击者可利用这个漏洞关闭进程,进行拒绝服务攻击>
发现rpc.statd是由服务nfslock开启,关闭它即可service nfslock stop
chkconfig nfslock off
心得体会:
1)iptables最好写成脚本形式,想开哪个端口开哪个,想关哪个关哪个,iptables服务都可关闭;写iptables注意配合下crontab,注意别把自己SSH停掉了,毕竟公司离机房还是很远的!
2)不定期扫描,发现可疑端口就关闭,实在不太懂就cat /etc/services或googel
3)多注意连接数和系统性能,有时能从上面发现问题,多看看vmstate
4)建议多掌握netcat、hping2、nmap等安全工具,配合监测iptables的安全策略
5)多注意自己服务器的内核漏洞,毕竟现在的linux攻击都是内核级的
6)多关注Michael Rash大师的书,在安全方面他是权威;这世上,没上攻不破的服务器,但这并不意味着我们啥也不做。
7)关注iptables日志

http://bbs.linuxtone.org/forum.php?mod=viewthread&tid=2212&fromuid=20245