如何检查自己的服务器漏洞
如何检查自己的服务器漏洞以自己的邮件服务器举例说明,系统的默认策略就为INPUT为DROP,OUTPUT为ACCEPT,FORWARD为DROP,定义一个防火墙规则,即/root/firewall.sh,,放进开机脚本里,即目录/etc/rc.d/rc.local,/root/firewall.sh脚本如下:01.#/bin/sh
02.iptables -F INPUT
03.
04.iptables -A INPUT -i lo -j ACCEPT
05.iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
06.# http/https, smtp/smtps, pop3/pop3s, imap/imaps, ssh,ftp
07.iptables -A INPUT -p tcp -m multiport --dport 80,443,25,465,110,995,143,993,587,465,22
08.-j ACCEPT
复制代码# nmap -P0 -sS 211.143.6.X
01.Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2009-03-29 16:21 CST
02.Interesting ports on 211.143.6.X:
03.Not shown: 1668 closed ports
04.PORT STATE SERVICE
05.22/tcp openssh
06.25/tcp opensmtp
07.80/tcp openhttp
08.110/tcpopenpop3
09.111/tcpopenrpcbind
10.143/tcpopenimap
11.443/tcpopenhttps
12.465/tcpopensmtps
13.587/tcpopensubmission
14.993/tcpopenimaps
15.995/tcpopenpop3s
16.1014/tcp openunknown
复制代码lsof -i:1014,发现又是rpc.statd,这东东,每次用的端口都不一样啊;它不能正确处理SIGPID信号,远程攻击者可利用这个漏洞关闭进程,进行拒绝服务攻击>
发现rpc.statd是由服务nfslock开启,关闭它即可service nfslock stop
chkconfig nfslock off
心得体会:
1)iptables最好写成脚本形式,想开哪个端口开哪个,想关哪个关哪个,iptables服务都可关闭;写iptables注意配合下crontab,注意别把自己SSH停掉了,毕竟公司离机房还是很远的!
2)不定期扫描,发现可疑端口就关闭,实在不太懂就cat /etc/services或googel
3)多注意连接数和系统性能,有时能从上面发现问题,多看看vmstate
4)建议多掌握netcat、hping2、nmap等安全工具,配合监测iptables的安全策略
5)多注意自己服务器的内核漏洞,毕竟现在的linux攻击都是内核级的
6)多关注Michael Rash大师的书,在安全方面他是权威;这世上,没上攻不破的服务器,但这并不意味着我们啥也不做。
7)关注iptables日志 谢谢分享 收藏收藏 现在网站安全是个值得考虑的问题。
页:
[1]