Linux/unix安全优化的讨论与案例分享（获奖名单已公布）

king_819

回复 88# 无风之谷


    大家一起分享才是真的分享，特别是生产环境下的

king_819

屏蔽22端口扫描的IP

1. file=/root/script/drop_ip_1
   
2. ips=`/bin/awk '/Failed/{a[$(NF-3)]++}END{for(i in a)if(a[i]>10)print i}' /var/log/secure `
   
3. for ip in $ips
   
4. do
   
5.         /bin/grep -q $ip $file ||(echo "`date +'%Y-%m-%d %H:%M:%S'`      $ip ">>$file)
   
6. done
   
7. drop_ip=`cat drop_ip_1|awk -F: '{print $6}'`
   
8. for iptables_ip in $drop_ip
   
9. do
   
10.         if [ $iptables_ip != $0 ] && [ -z "` iptables -nvL -t nat|grep $iptables_ip`" ];then
    
11.         /sbin/iptables -t nat -I PREROUTING -s $iptables_ip -j DROP
    
12.         fi
    
13. done
    

复制代码

cgweb

OSSIM（开源安全信息管理系统）在企业网络管理中的部分应用
今天为大家介绍的OSSIM即开源安全信息管理系统是目前非常流行的开源安全架构体系。OSSIM通过将开源产品进行集成,从而提供一种能够实现安全监控功能的基础平台OSSIM明确定位为一个集成解决方案,它利用丰富的、强大的各种程序(包括Snort、Rrd、Nmap、 Nessus以及Ntop等开源系统安全软件)。在一个保留他们原有功能和作用的开放式架构体系环境下,将他们集成起来。由于开源项目的优点,这些工具已经是久经考验,同时也经过全方位测试、可靠的工具。考虑到目前网络上有关ossim实战的资料比较少，为此本人专门将3年来对ossim的一部分研究成果演示给大家，更多详尽知识可以参考《Linux企业案例分析精解》一书的主机监控章节。

1.Ossim使用概况
http://video.sina.com.cn/v/b/71703274-1443650204.html
2.Ossim之OCS和Ntop网络流量图演示
http://video.sina.com.cn/v/b/71906119-1443650204.html
3.Ossim之全球IP定位
http://video.sina.com.cn/v/b/71900486-1443650204.html
4.Ossim高级应用之网络攻击shellcode代码分析
http://video.sina.com.cn/v/b/71833986-1443650204.html

king_819

回复 93# cgweb





    OSSIM是一个不错的开源安全管理系统，晨光兄应该多分享些实际的安全经验

zhangyudong1987

参与学习……安全经验很重要。。。我刚好没经验

morris2600

学习下

dida2000

学习中....

king_819

在分享的过程中，也可以提出在实际工作中碰到的安全问题，大家一起讨论下

playmud

抛砖引玉吧
首先表明一点，没有绝对安全，没有银弹。

1，口令，字符+数字+特殊字符，长度>12。
2，核心服务器外层部署防火墙，禁止从服务器对外发起连接，防火墙指定ip管理。核心服务器与内网办公环境应当有权限和ip控制，防止测漏。
3，服务器内配置文件权限加固，控制用户数，日志备份到单独服务器，访问控制。
4，配置漏洞扫描工具，定期更新规则，定期扫描服务器。

我觉得首先你不能让工作太繁琐，否则维护人员难免懈怠，其次过度防护会影响性能。
定向渗透的难度远高于你的想象，安全没那么脆弱。这10页的经验足矣足矣了。。。

你长期弱口令，不做权限设置，用众所周知具有漏洞的版本，神也保护不了你。

20040925

回复 6# chenyx


    tcp_tw_recycle ：BOOLEAN
默认值是0
打开快速 TIME-WAIT sockets 回收。除非得到技术专家的建议或要求﹐请不要随意修改这个值。(做NAT的时候，建议打开它)

tcp_tw_reuse：BOOLEAN
默认值是0
该文件表示是否允许重新应用处于TIME-WAIT状态的socket用于新的TCP连接(这个对快速重启动某些服务,而启动后提示端口已经被使用的情形非常有帮助)


你试验过吗，我测试这两个并不生效啊？TIME-WAIT照样要等2MSL（tcp_tw_recycle无效）,且端口被占用时程序无法绑定端口（tcp_tw_reuse无效）