Linux/unix安全优化的讨论与案例分享（获奖名单已公布）

dahai01

分享一个日志分析的脚本，查找可疑的IP并拒绝掉

1. #!/bin/sh  
   
2. ### FileName: ddos_drop.sh
   
3. ### Auth: Sunshine GU
   
4. 
   
5. ###程序文件路径
   
6. nginx_log_file=/home/wwwlogs/access.log
   
7. apache_log_file=/var/log/httpd/access.log
   
8. 
   
9. ###IP列表存储路径
   
10. grep_list=drop_ip.dat
    
11. ###IP列表排除
    
12. else_list='192.168.14|127.0.0.1|0.0.0.0'
    
13. 
    
14. ###监控端口
    
15. grep_port='80|8080|443'
    
16. 
    
17. ###执行间隔时间(s)
    
18. exec_time=60
    
19. 
    
20. ###清空旧的非法IP
    
21. if [ -e $grep_list ];then
    
22.    rm -f $grep_list
    
23. fi
    
24. 
    
25. ###服务器为nginx，则启动此过程
    
26. nginx_moudle() {
    
27. tail $nginx_log_file -n 1000|grep -E 'GET|POST'|awk {'print $1'}|sort|uniq -c|sort -nr|awk '{if ($2!="-" && $1>100) {print $2}}' > $grep_list
    
28. for i in `cat $grep_list`
    
29. do
    
30.   if [ $i!=`iptables --list|grep $i|awk {'print $4'}` ];
    
31.   then
    
32.     /sbin/iptables -I INPUT -s $i -j DROP;
    
33.   fi
    
34. done
    
35. }
    
36. 
    
37. ###服务器为apache，则启动此过程
    
38. apache_moudle() {
    
39. tail $apache_log_file -n 1000|grep -E 'GET|POST'|awk {'print $1'}|sort|uniq -c|sort -nr|awk '{if ($2!="-" && $1>100) {print $2}}' > $grep_list
    
40. for i in `cat $grep_list`
    
41. do
    
42.   if [ $i!=`iptables --list|grep $i|awk {'print $4'}` ];
    
43.   then
    
44.     /sbin/iptables -I INPUT -s $i -j DROP;
    
45.   fi
    
46. done
    
47. }
    
48. 
    
49. ###根据连接状态进行IP屏蔽
    
50. netstat_moudle() {
    
51. /bin/netstat -ant |grep -E $grep_port|awk '{print $5}'|awk -F : '{print $1}'|sort|uniq -c|sort -rn|grep -v -E $else_list|awk '{if ($2!=null && $1>50) {print $2}}' > $grep_list
    
52. for i in `cat $grep_list`
    
53. do
    
54.   if [ $i!=`iptables --list|grep $i|awk {'print $4'}` ];
    
55.   then
    
56.     /sbin/iptables -I INPUT -s $i -j DROP;
    
57.   fi
    
58. done
    
59. }
    
60. 
    
61. ###启动命令控制
    
62. case "$1" in
    
63.   nginx)
    
64.         while true
    
65.         do
    
66.         nginx_moudle
    
67.         sleep $exec_time
    
68.         done
    
69.         ;;
    
70.   apache)
    
71.         while true
    
72.         do
    
73.         apache_moudle
    
74.         sleep $exec_time
    
75.         done
    
76.         ;;
    
77.   netstat)
    
78.         while true
    
79.         do
    
80.         netstat_moudle
    
81.         sleep $exec_time
    
82.         done
    
83.         ;;
    
84.   *)
    
85.         echo $"Usage: $prog {nginx|apache|netstat}"
    
86.         exit 1
    
87. esac

复制代码

dahai01

回复 80# king_819


很不错的分享，写的很详细，学习了



   

dahai01

安全守则

1. 废除系统所有默认的帐号和密码。  
2. 在用户合法性得到验证前不要显示公司题头、在线帮助以及其它信息。  
3. 废除“黑客”可以攻击系统的网络服务。  
4. 使用8位以上的组合式密码，ssh服务最好使用key认证。  
5. 限制用户尝试登录到系统的次数。  
6. 记录违反安全性的情况并对安全记录进行复查。  
7. 对于重要信息，上网传输前要先进行加密。  
8. 重视专家提出的建议，安装他们推荐的系统“补丁”。  
9. 限制不需密码即可访问的主机文件。  
10.修改网络配置文件，以便将来自外部的TCP连接限制到最少数量的端口。不允许诸如tftp,sunrpc,printer,rlogin或rexec之类的协议。  
11.用upas代替sendmail。sendmail有太多已知漏洞，很难修补完全。  
12.去掉对操作并非至关重要又极少使用的程序。  
13.使用chmod将所有系统目录变更为711模式。这样，攻击者们将无法看到它们当中有什么东西，而用户仍可执行。  
14.只要可能，就将磁盘安装为只读模式。其实，仅有少数目录需读写状态。  
15.将系统软件升级为最新版本。老版本可能已被研究并被成功攻击，最新版本一般包括了这些问题的补救。

lutheran

king_819 发表于 2012-03-13 14:18

这个总结的好。谢谢共享！

king_819

回复 82# dahai01


   不错的脚本享，通过日志中的行为动作来进行判断

   

无风之谷

回复 82# dahai01


    分享的不错啊，期待更多的脚本能分享下。

无风之谷

回复 73# king_819


    king兄弟 干货很多的，强烈支持！

无风之谷

回复 61# Shell_HAT


    感谢hat的分享，期待hat兄分享更多的干货啊！

无风之谷

回复 60# Godbach


    GOD兄，你也拿出些脚本来分享嘛:wink:

king_819

回复 88# 无风之谷


    大家一起分享才是真的分享，特别是生产环境下的