如何检查自己的服务器漏洞

三里屯摇滚

如何检查自己的服务器漏洞

以自己的邮件服务器举例说明,系统的默认策略就为INPUT为DROP,OUTPUT为ACCEPT,FORWARD为DROP，定义一个防火墙规则，即/root/firewall.sh,,放进开机脚本里，即目录/etc/rc.d/rc.local,/root/firewall.sh脚本如下：

1. 01.#/bin/sh
   
2. 
   
3. 02.iptables -F INPUT
   
4. 
   
5. 03.
   
6. 
   
7. 04.iptables -A INPUT -i lo -j ACCEPT
   
8. 
   
9. 05.iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
   
10. 
    
11. 06.# http/https, smtp/smtps, pop3/pop3s, imap/imaps, ssh,ftp
    
12. 
    
13. 07.iptables -A INPUT -p tcp -m multiport --dport 80,443,25,465,110,995,143,993,587,465,22
    
14. 
    
15. 08.-j ACCEPT
    
16. 复制代码

复制代码

[root@mail postfix]# nmap -P0 -sS 211.143.6.X

1. 
   
2. 01.Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2009-03-29 16:21 CST
   
3. 
   
4. 02.Interesting ports on 211.143.6.X:
   
5. 
   
6. 03.Not shown: 1668 closed ports
   
7. 
   
8. 04.PORT     STATE SERVICE
   
9. 
   
10. 05.22/tcp   open  ssh
    
11. 
    
12. 06.25/tcp   open  smtp
    
13. 
    
14. 07.80/tcp   open  http
    
15. 
    
16. 08.110/tcp  open  pop3
    
17. 
    
18. 09.111/tcp  open  rpcbind
    
19. 
    
20. 10.143/tcp  open  imap
    
21. 
    
22. 11.443/tcp  open  https
    
23. 
    
24. 12.465/tcp  open  smtps
    
25. 
    
26. 13.587/tcp  open  submission
    
27. 
    
28. 14.993/tcp  open  imaps
    
29. 
    
30. 15.995/tcp  open  pop3s
    
31. 
    
32. 16.1014/tcp open  unknown
    
33. 复制代码

复制代码

lsof -i:1014,发现又是rpc.statd，这东东，每次用的端口都不一样啊;它不能正确处理SIGPID信号，远程攻击者可利用这个漏洞关闭进程，进行拒绝服务攻击>

发现rpc.statd是由服务nfslock开启，关闭它即可service nfslock stop
chkconfig nfslock off


心得体会:
1)iptables最好写成脚本形式，想开哪个端口开哪个，想关哪个关哪个，iptables服务都可关闭;写iptables注意配合下crontab，注意别把自己SSH停掉了,毕竟公司离机房还是很远的!
2)不定期扫描，发现可疑端口就关闭，实在不太懂就cat /etc/services或googel
3)多注意连接数和系统性能，有时能从上面发现问题,多看看vmstate
4)建议多掌握netcat、hping2、nmap等安全工具，配合监测iptables的安全策略
5)多注意自己服务器的内核漏洞，毕竟现在的linux攻击都是内核级的
6)多关注Michael Rash大师的书，在安全方面他是权威;这世上，没上攻不破的服务器，但这并不意味着我们啥也不做。
7）关注iptables日志

梦境照进现实

谢谢分享

lastfile

收藏收藏

kenny0716

现在网站安全是个值得考虑的问题。