来源:蜘蛛抓取(WebSpider)
时间:2018-04-12 08:45
标签:
注册表编辑器怎么打开
-----------
轻信“大师”买彩票8天被骗2.6万 其实是个托儿幕后操控输赢
绘图沈江江
只要按“黄金预测师”提供的数字,在“万达理财平台”买彩票,包你稳赚不赔,真有这样的好事吗?仪征一网店女店主心动了,结果投注2.6万余元全部打水漂。案发后,该平台幕后老板、“黄金预测师”等5人先后被抓。
据交代,该平台是他们专门来骗人的,通过后台修改数据即可控制玩家输赢。近日,老板等4人因涉嫌诈骗罪,被仪征市检察院批准逮捕,另一名犯罪嫌疑人被取保候审。
跟大师买彩票稳赚?
女店主8天被骗2.6万元
家住仪征的小妍(化名),在淘宝网上经营一家网店。为了店铺生意越做越好,她常会加入一些淘宝店主交流群,并参加一些线上活动。去年6月20日,小妍被拉入了一个名为“团购代购共享(8)群”的QQ交流群。在该群中,群主“小美”经常发送一些图片和一个名为“万达理财平台”的网站,并称群成员到该网站注册、投注,就可以赚外快,并保证只要跟着群管理员“黄金预测师”投注,保准稳赚不赔。
见多位群成员积极参与,想赚外快的小妍也心动了,随即到“万达理财平台”注册账号,并按照“黄金预测师”给的数字,购买彩票。玩了几单后,小妍赚了几百元,尝到了“甜头”,并对“黄金预测师”和群主深信不疑。接下来的时间里,小妍手气一天比一天差,陆续输了上万元。6月28日,小妍向“黄金预测师”求助,对方提议让她加大投注,和群里的另一个成员“小唐”分别出资1.5万元,合作下注,保证能让她“大翻身”。小妍照做,结果1.5万元全部输光。
此时,小妍算了算,她加入该群刚8天,别说赚外快,反而损失了2.6万余元,小妍怀疑被骗,向仪征警方报案。
假彩票网站诱骗网友
忙不过来,邀老乡合伙
仪征警方经初步调查后,去年7月28日立案侦查。截至今年1月26日,万达理财平台老板、“黄金预测师”等5人先后被抓获归案。
经查,5人均系广西资源县人,全是“90后”。5人中,万达理财平台老板李某年龄最大,今年28岁。该团伙之所以组建,源于李某的“发财梦”:去年,李某听老乡说起,在网上利用“重庆时时彩”克隆网站,通过后台修改数据的方式,可以骗到钱,遂决定从事这一行。
随后,李某找到老乡张某等人,购买了一个“重庆时时彩”克隆网站的后台和QQ群,取名“万达国际平台”(后更名为万达理财平台),诱骗网友到该平台下注,然后通过后台修改数据,控制客户的输赢,最终使得进入该平台下注的玩家都会输钱给李某。做了一个月后,李某觉得太累,一个人忙不过来,先后找来老乡夏某、陈某等人合伙。
改后台数据控制输赢
涉案老板等4人被批捕
合伙期间,李某等人分工明确:李某是老板,主要负责购买平台和QQ群,召集成员做事,取赃分赃;张某主要负责推广,即发展群成员达100人以上的QQ群,卖给李某;李某把买来的QQ群交给陈某、夏某等人管理。其中,陈某、夏某等人主要负责在QQ群中使用不同的QQ号,一边以“黄金预测师”或者“理财老师”的身份,宣称到平台注册可以赚外快,稳赚不赔;一边互相作“托儿”,鼓吹跟着“黄金预测师”或“理财老师”能赚到钱,以此诱骗网友进入该平台投注。此外,陈某还负责修改后台数据,控制玩家输赢。为了能诈骗成功,李某还为陈某、夏某等人提供“话术”文本,供他们学习,以提高“业务能力”。
侦查机关初步查明,截至案发,李某等人利用上述方式,共骗得30万余元。其中,侦查机关现已核准的被害人有小妍等4人,被骗金额共计5.5万余元,其他被害人情况还在进一步调查取证中。
警方表示,这类建虚拟彩票网络平台诈骗的案件经常发生,诈骗模式多次被曝光:诈骗团伙利用QQ群将被害人拉入群中,伪造经营的是国家财政部门批准的福利彩票,并提供虚假计划号码、投注倍数,又相互以玩家身份在群中发布中奖信息及虚假的中奖截图,骗取群成员的信任,然后将注册网站链接发布到QQ群中,让成员用注册账号进行购买“彩票”,同时利用事先准备好的支付宝、银行账号公布在平台上,用于被害人进行网上汇款充值,被害人在网站注册充值后,投注中了小额奖金,就给点“甜头”,逐步诱导被害人加大投注金额,当被害人中奖金额过大时,后台客服人员更改其中奖号码,直至被害人将钱输光为止。
近日,仪征市检察院经审查后认为,李某等4人的行为已涉嫌诈骗罪,依法对4人批准逮捕,另一名犯罪嫌疑人被公安机关采取取保候审强制措施。目前,该案还在进一步侦办中。通讯员 黄强 武立松 杨真 记者 刘娟责任编辑:陈书戈
扬州网新闻热线:4&扬州网广告热线:1
版权声明:凡本网注明来源为“扬州网”或“扬州日报”、“扬州晚报”、“扬州时报”各类新闻﹑信息和各种原创专题资料的版权,均为扬州报业集团及作者或页面内声明的版权人所有。任何媒体、网站或个人未经本网书面授权不得转载、链接、转贴或以其他方式使用;已经通过本网书面授权的,在使用时必须注明上述来源。
新闻热线:4
广告热线:9
扬州新闻网传媒有限公司 苏ICP备号
Yznews.com.cn All Rights Reserved网上买彩票问题汇总,【回答到30楼送RMB100元】_百度知道
网上买彩票问题汇总,【回答到30楼送RMB100元】
本回答为了答谢广大彩民通过网上买彩票,支持环保做贡献,回答的好加分送RMB100元,顶吧!
我有更好的答案
我去过爱彩人彩票网啦 还好 兑奖直接打到个人账户上,方便诚信正规方便易购
采纳率:9%
搜 论彩谭 有大把彩票网址
网上买彩票合法吗 手机买彩票可靠吗彩票(lottery)是奖券的通称。彩票的产生,可以追溯到二千多年前的古罗马时代。那时, 人们用彩票进行抽奖,是娱乐性的娱乐活动,在皇室与商界颇为流行,后来逐渐在各国盛行 起来, 并流传到世界各地。 自从 1530 年佛罗伦萨发行第一张现代彩票后, 1726 年荷兰政府、 1754 年丹麦政府、1763 年西班牙政府、1785 年葡萄牙政府及 1787 年奥地利政府都先后把 发行彩票作为新的收入来源。进入 20 世纪 70 年代,彩票业又一次风靡世界各地。目前, 全 世界有 120 多个国家发行各种形式的彩票, 并已成为世界第六大产业。 在这一百多个国家里, 既有资本主义国家,也有社会主义国家;既有发达国家,也有发展中国家。据 1996 年统计, 当年全球彩票销售额达到 1200 亿美元, 比上年增长 10%。 其中超过 50 亿美元的国家有 8 个, 位居榜首的美国达到 364 亿美元 赌博的历史 除了孔老夫子的“食色”之外,赌博可以说是人类社会中历史最久、参与程度最多,而且不 分民族文化都广泛存在的社会现象。 在埃及的大金字塔中的文字中已有赌博的记载, 而骰子 更是多处出现。新中国成立以来,赌博已明令禁止,可是时至今日,无论是灾区,还是萧条 的集市上,方城之战也屡见不鲜。我记得,在物质生活及精神生活都高度紧张的文革前的四 清时期,四清工作中也明确提到要禁止聚赌、抽头等。这么看,赌博似乎与人的天性有关。 既然进入到学术研究的范围,我们免不了要限定我们所讨论的对象——“赌”的范围。为了 清晰起见,我们应该把赌与打赌、博弈、竞赛、游戏等区别开来。赌博的要件有二:一是有 输赢,通常是与所下赌注有关;二是输赢主要靠机遇,当然决定输赢还有许多其他因素, 技 巧、信息、判断、常识以及许许多多的欺骗手段。所以在新年之时,赌博慢慢早以成为众多 人休闲娱乐的首选,这会就让我们来漫话一下赌博的历史! 赌博的社会学 说起赌博的社会学,美国伟大的经济学家与社会学家维布仑在他的《有闲阶级论》中早已指 出社会对赌博的负面影响。他说:赌博鼓励人们愈来愈相信运气,而不相信通过理性设计与 筹划的事业,赌博使赌徒更加深信不劳而获,更加甘冒风险妄想大赚一笔,尤其是鼓励投机 心理,而非正常消费及投资。这本 19 世纪末的名著,说的不就是现今社会的心态吗?这种心 态不正是产生金融危机及股市泡沫的心态吗?无怪乎 21 世纪初有著名的经济学家说
主要是加载文件怎么处理。不过是小系统的。哪天上网了我给你发过去我有视频。操作都一样插上u盘,编辑,传输/u盘,输入,选文件,按回车,存储,回车。这系统我是创意总监,我很熟有问题直接联系我邮箱viptomato@vip.qq.com它的系统反应慢死了,不好用,经常死机,大点的文件就没法读了,说是ARM7的机子,还是看看其他的数控系统吧,不要被忽悠住啊
其他2条回答
为您推荐:
其他类似问题
您可能关注的内容
网上买彩票的相关知识
换一换
回答问题,赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。院领导集体
中国科学院大学
上海科技大学
《中国科学院院刊》(中文版)是中国科学院主办的以战略与决策研究为主的科技综...
《科学通报》是自然科学综合性学术刊物,力求及时报道自然科学各领域具有创新性...
覆盖数学、物理、化学、生命科学、地球科学、信息科学、技术科学与天文学等学科...
李昊桐获欧巡两年会员资格 赛季重心仍放威巡赛
视频-围棋视频活动饭桶作品《唐胖胖记事录》
视频录播-英超第36轮 沃特福德vs维拉上半场”
谌龙4连败李宗伟半年无冠 世界第1宝座岌岌可危
《北西2》票房突破2亿领跑五一档:李铁率队战宏运勾起辽足记忆 这么多年他们在哪
我要分享 &
文章来源:手机怎么网上买彩票&&&&发布时间: 17:08:45&&【字号:&&&&&&】
泰国首都曼谷近期发生了数次反对军政府的示威,要求军政府释放18日起被扣押的为泰党核心成员瓦达那·孟素。瓦达那此前多次在社交媒体反对宪法草案,批评军政府。政府称他违反了之前与政府达成的协议,因而将他拘留。☆//pukiv☆
马新社援引廖中莱的话报道说,莫桑比克和南非政府均已同意马方提出的搜寻要求,并将派出人员展开搜寻,如有发现会迅速通知马方。如果发现更多疑似残骸碎片,马方会派出搜寻小组。廖中莱表示,更多残骸的发现将有助于对客机如何坠毁进行分析。泰国媒体《新新闻报》评论说,这是巴育首次在这样的公开场合提及他信的名字。虽然他此前也曾多次暗指他信,但从未直呼其名。
值班经理深夜进入女客人房间 女孩:被看光了:视频-梅西VS贝蒂斯个人集锦 贡献2助攻3连胜领跑(组图)
新华社华盛顿4月21日电(记者陆佳飞 徐剑梅)美国前国务卿、民主党总统竞选人希拉里·克林顿21日说,当年作为国会参议员投票支持美国发动伊拉克战争是她最大的政治遗憾。经济衰退对财政的第一个打击是财政支出的增加。日本过去20年的长期债务负担,在很大程度上是由于经济陷入长期低迷,政府为刺激经济不断扩大公共事业投资而累积起来的。1992年至2016年日本政府推出了近30次紧急经济对策,累计财政支出总额超过300多万亿日元。毫无疑问,政府支出的增加,对拖累日本财政陷入困境有直接关系。此外,经济不景气,税收相应减少,其结果是政府借新债还旧债,致使累计债务越积越多。
(一)严峻的财政现状1.经济波动因素。经济衰退从扩大财政支出和减少税收两方面对财政产生压迫,如果经济景气则对财政产生积极影响。
曾被劝将梧桐妹给前夫带 贾静雯:不可能:黄晓明晒妈妈亲笔画作 祝福网友五一快乐
新华社吉隆坡4月21日电(记者林昊)马来西亚交通部长廖中莱21日表示,莫桑比克和南非方面已同意在各自海域继续搜寻马航370航班客机的残骸。
在短暂“接见”媒体后,下午1时,两位小家伙开始对韩国民众亮相。“爱宝”和“乐宝”居住的熊猫世界外排起了长队。一对来自韩国南部丽水市的夫妇告诉记者,他们早早就得知了熊猫首秀的消息,特地请了两天假,带着孩子赶来龙仁市,很幸运能抢先一睹大熊猫的英姿。
于冬:合拍电影将由中国投资人主导
中国外交部发言人华春莹21日在例行记者会上表示,“中方在靖国神社问题上的立场是一贯和明确的,我们敦促日方切实正视和深刻反省侵略历史,同军国主义划清界限,以实际行动取信于亚洲邻国和国际社会”。
中国外交部发言人华春莹21日在例行记者会上表示,“中方在靖国神社问题上的立场是一贯和明确的,我们敦促日方切实正视和深刻反省侵略历史,同军国主义划清界限,以实际行动取信于亚洲邻国和国际社会”。
斯塔诺:北控对胜利充满渴望 队员懂比赛的意义:围甲联赛芈昱廷主将不敌金志锡 江苏憾负浙江
(责任编辑:高尔夫球会网)扫一扫,访问微社区
查看: 13642|回复: 6
云币103 威望11 最后登录积分161注册时间帖子
程序猿[LV2], 积分 161, 距离下一级还需 1039 积分
云币103 威望11
CentOS Linux服务器安全设置
引言:我们必须明白:最小的权限+最少的服务=最大的安全所以,无论是配置任何服务器,我们都必须把不用的服务关闭、把系统权限设置到最小话,这样才能保证服务器最大的安全。下面是CentOS服务器安全设置,供大家参考。
---------------------------------------------------------------------------------------
一、注释掉系统不需要的用户和用户组
---------------------------------------------------------------------------------------
注意:不建议直接删除,当你需要某个用户时,自己重新添加会很麻烦。
cp&&/etc/passwd&&/etc/passwdbak& &#修改之前先备份
vi /etc/passwd&&#编辑用户,在前面加上#注释掉此行
#adm:x:3:4:adm:/var/adm:/sbin/nologin
#lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
#sync:x:5:0:sync:/sbin:/bin/sync
#shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
#halt:x:7:0:halt:/sbin:/sbin/halt
#uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin
#operator:x:11:0perator:/root:/sbin/nologin
#games:x:12:100:games:/usr/games:/sbin/nologin
#gopher:x:13:30:gopher:/var/gopher:/sbin/nologin
#ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin& & #注释掉ftp匿名账号
cp /etc/group& &/etc/groupbak& &#修改之前先备份
vi /etc/group&&#编辑用户组,在前面加上#注释掉此行
#adm:x:4:root,adm,daemon
#lp:x:7:daemon,lp
#uucp:x:14:uucp
#games:x:20:
#dip:x:40:
---------------------------------------------------------------------------------------
二、关闭系统不需要的服务
---------------------------------------------------------------------------------------
service acpid stop&&chkconfig acpid off& &#停止服务,取消开机启动&&#电源进阶设定,常用在 Laptop 上
service autofs stop&&chkconfig autofs off&&#停用自动挂载档桉系统与週边装置
service bluetooth stop&&chkconfig&&bluetooth&&off& &#停用Bluetooth蓝芽
service cpuspeed stop&&chkconfig&&cpuspeed&&off& &#停用控制CPU速度主要用来省电
service cups stop& &chkconfig cups off& & #停用 Common UNIX Printing System 使系统支援印表机
service ip6tables stop&&chkconfig ip6tables off& &#禁止IPv6
################################################################################
如果要恢复某一个服务,可以执行下面操作
service acpid start&&chkconfig acpid on
---------------------------------------------------------------------------------------
三、禁止非root用户执行/etc/rc.d/init.d/下的系统命令
---------------------------------------------------------------------------------------
chmod -R 700 /etc/rc.d/init.d/*
chmod -R 777 /etc/rc.d/init.d/*& & #恢复默认设置
---------------------------------------------------------------------------------------
四、给下面的文件加上不可更改属性,从而防止非授权用户获得权限
---------------------------------------------------------------------------------------
chattr +i /etc/passwd
chattr +i /etc/shadow
chattr +i /etc/group
chattr +i /etc/gshadow
chattr +i /etc/services& & #给系统服务端口列表文件加锁,防止未经许可的删除或添加服务
lsattr&&/etc/passwd& &/etc/shadow&&/etc/group&&/etc/gshadow& &/etc/services& &#显示文件的属性
注意:执行以上权限修改之后,就无法添加删除用户了。
如果再要添加删除用户,需要先取消上面的设置,等用户添加删除完成之后,再执行上面的操作
chattr -i /etc/passwd& &&&#取消权限锁定设置
chattr -i /etc/shadow
chattr -i /etc/group
chattr -i /etc/gshadow
chattr -i /etc/services& &#取消系统服务端口列表文件加锁
现在可以进行添加删除用户了,操作完之后再锁定目录文件
---------------------------------------------------------------------------------------
五、限制不同文件的权限
---------------------------------------------------------------------------------------
chattr +a .bash_history& && && &&&#避免删除.bash_history或者重定向到/dev/null
chattr +i .bash_history
chmod 700 /usr/bin& && && && && & 恢复&&chmod 555 /usr/bin
chmod 700 /bin/ping& && && && &&&恢复&&chmod 4755 /bin/ping
chmod 700 /usr/bin/vim& && && &恢复&&chmod 755 /usr/bin/vim
chmod 700 /bin/netstat& && && & 恢复&&chmod 755 /bin/netstat
chmod 700 /usr/bin/tail& && && & 恢复&&chmod 755 /usr/bin/tail
chmod 700 /usr/bin/less& && && &恢复&&chmod 755 /usr/bin/less
chmod 700 /usr/bin/head& && & 恢复&&chmod 755 /usr/bin/head
chmod 700 /bin/cat& && && && && & 恢复&&chmod 755 /bin/cat
chmod 700 /bin/uname& && && & 恢复&&chmod 755 /bin/uname
chmod 500 /bin/ps& && && && && &&&恢复&&chmod 755 /bin/ps
---------------------------------------------------------------------------------------
六、禁止使用Ctrl+Alt+Del快捷键重启服务器
---------------------------------------------------------------------------------------
cp /etc/inittab&&/etc/inittabbak
vi /etc/inittab& & #注释掉下面这一行
#ca::ctrlaltdel:/sbin/shutdown -t3 -r now& & ---------------------------------------------------------------------------------------
&&七、使用yum update更新系统时不升级内核,只更新软件包
& & ---------------------------------------------------------------------------------------由于系统与硬件的兼容性问题,有可能升级内核后导致服务器不能正常启动,这是非常可怕的,没有特别的需要,建议不要随意升级内核。
cp /etc/yum.conf& & /etc/yum.confbak
1、修改yum的配置文件 vi /etc/yum.conf&&在[main]的最后添加 exclude=kernel*
2、直接在yum的命令后面加上如下的参数:
yum –exclude=kernel* update
查看系统版本&&cat /etc/issue
查看内核版本&&uname -a
---------------------------------------------------------------------------------------
八、关闭Centos自动更新
---------------------------------------------------------------------------------------
chkconfig –list yum-updatesd&&#显示当前系统状态
yum-updatesd& & 0:关闭&&1:关闭&&2:启用&&3:启用&&4:启用&&5:启用&&6:关闭
service yum-updatesd stop& && &#关闭&&开启参数为start
停止 yum-updatesd:& && && && && && && && && && && && && & [确定]
service yum-updatesd status& &#查看是否关闭
yum-updatesd 已停
chkconfig –level 35 yum-updatesd off&&#禁止开启启动(系统模式为3、5)
chkconfig yum-updatesd off&&#禁止开启启动(所有启动模式全部禁止)
chkconfig –list yum-updatesd&&#显示当前系统状态
yum-updatesd& & 0:关闭&&1:关闭&&2:启用&&3:关闭&&4:启用&&5:关闭&&6:关闭
---------------------------------------------------------------------------------------
九、关闭多余的虚拟控制台
---------------------------------------------------------------------------------------
我们知道从控制台切换到 X 窗口,一般采用 Alt-F7 ,为什么呢?因为系统默认定义了 6 个虚拟控制台,
所以 X 就成了第7个。实际上,很多人一般不会需要这么多虚拟控制台的,修改/etc/inittab ,注释掉那些你不需要的。
cp&&/etc/inittab&&/etc/inittabbak
vi /etc/inittab
# Run gettys in standard runlevels
1:2345:respawn:/sbin/mingetty tty1
#2:2345:respawn:/sbin/mingetty tty2
#3:2345:respawn:/sbin/mingetty tty3
#4:2345:respawn:/sbin/mingetty tty4
#5:2345:respawn:/sbin/mingetty tty5
#6:2345:respawn:/sbin/mingetty tty6
---------------------------------------------------------------------------------------
十、删除MySQL历史记录
---------------------------------------------------------------------------------------
用户登陆数据库后执行的SQL命令也会被MySQL记录在用户目录的.mysql_history文件里。
如果数据库用户用SQL语句修改了数据库密码,也会因.mysql_history文件而泄漏。
所以我们在shell登陆及备份的时候不要在-p后直接加密码,而是在提示后再输入数据库密码。
另外这两个文件我们也应该不让它记录我们的操作,以防万一。
cp .bash_history&&.bash_historybak&&#备份
cp .mysql_history .mysql_historybak
rm .bash_history .mysql_history
ln -s /dev/null .bash_history
ln -s /dev/null .mysql_history
---------------------------------------------------------------------------------------
十一、修改history命令记录
---------------------------------------------------------------------------------------
cp /etc/profile& &/etc/profilebak
vi /etc/profile
找到 HISTSIZE=1000 改为 HISTSIZE=50
---------------------------------------------------------------------------------------
十二、隐藏服务器系统信息
---------------------------------------------------------------------------------------
在缺省情况下,当你登陆到linux系统,它会告诉你该linux发行版的名称、版本、内核版本、服务器的名称。
为了不让这些默认的信息泄露出来,我们要进行下面的操作,让它只显示一个”login:”提示符。
删除/etc/issue和/etc/issue.net这两个文件,或者把这2个文件改名,效果是一样的。
mv&&/etc/issue /etc/issuebak
mv&&/etc/issue.net& &/etc/issue.netbak
---------------------------------------------------------------------------------------
十三、优化Linux内核参数
---------------------------------------------------------------------------------------
cp /etc/sysctl.conf&&/etc/sysctl.confbak
vi /etc/sysctl.conf& & #在文件末尾添加以下内容
net.ipv4.tcp_max_syn_backlog = 65536
net.core.netdev_max_backlog =&&32768
net.core.somaxconn = 32768
net.core.wmem_default = 8388608
net.core.rmem_default = 8388608
net.core.rmem_max =
net.core.wmem_max =
net.ipv4.tcp_timestamps = 0
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 2
net.ipv4.tcp_tw_recycle = 1
#net.ipv4.tcp_tw_len = 1
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_mem = 000000
net.ipv4.tcp_max_orphans = 3276800
#net.ipv4.tcp_fin_timeout = 30
#net.ipv4.tcp_keepalive_time = 120
net.ipv4.ip_local_port_range = 1&&#(表示用于向外连接的端口范围。缺省情况下很小:3&&注意:这里不要将最低值设的太低,否则可能会占用掉正常的端口! )
/sbin/sysctl -p& &#使配置立即生效
---------------------------------------------------------------------------------------
十四、CentOS 系统优化
---------------------------------------------------------------------------------------
cp&&/etc/profile&&/etc/profilebak2
vi /etc/profile& && &#在文件末尾添加以下内容
ulimit -c unlimited
ulimit -s unlimited
ulimit -SHn 65535
source&&/etc/profile& & #使配置立即生效
ulimit -a& & #显示当前的各种用户进程限制
---------------------------------------------------------------------------------------
十五、服务器禁止ping
---------------------------------------------------------------------------------------
cp&&/etc/rc.d/rc.local&&/etc/rc.d/rc.localbak
vi&&/etc/rc.d/rc.local& && &&&#在文件末尾增加下面这一行
echo 1 & /proc/sys/net/ipv4/icmp_echo_ignore_all
参数0表示允许& &1表示禁止
云币103 威望11 最后登录积分161注册时间帖子
程序猿[LV2], 积分 161, 距离下一级还需 1039 积分
云币103 威望11
Windows Server 2008 服务器安全设置
1. 启用internet进程& & 在运行里输入gpedit.msc-&计算机配置-&管理模板-&windows组件-&internet explorer-&安全功能-&限制文件下载-&internet进程-&选择已启用 ,日后Windows Server 2008系统就会自动弹出阻止InternetExplorer进程的非用户初始化的文件下载提示,单击提示对话框中的“确定”按钮,恶意程序就不会通过IE浏览器窗口随意下载保存到本地计算机硬盘中了。 (作用:防止恶意代码直接下载到本机上)2. 对重要文件夹进行安全审核、& && & 打开组策略-&计算机配置-&Windows设置-&安全设置-&本地策略-&审核策略-&审核对象& & 访问,右键单击该项目,执行右键菜单中的“属性”命令打开目标组策略项目的属性设置窗口; 选中该属性设置窗口中的“成功”和“失败”复选项,再单击“确定”按钮,如此一来访问重要文件夹或其他对象的登录尝试、用户账号、系统关闭、重启系统以及其他一些事件无论成功与失败,都会被Windows Server 2008系统自动记录保存到对应的日志文件中,我们只要及时查看服务器系统的相关日志文件,就能知道重要文件夹以及其他一些对象是否遭受过非法访问或攻击了,一旦发现系统存在安全隐患的话,我们只要根据日志文件中的内容及时采取针对性措施进行安全防范就可以了。3. 禁止改变本地安全访问级别& & 打开组策略-&用户配置-&管理模板-&Windows组件-&InternetExplorer-&Internet控制模板-&禁用安全页,右键菜单中的“属性”命令打开目标组策略项目的属性设置窗口;选择已启用4. 禁用internet选项&&打开组策略-&用户配置-&管理模板-&Windows组件-&Internet Explorer-&浏览器菜单-&禁用“Internet选项”组策略的属性设置窗口打开,然后选中其中的“已启用”选项,最后单击“确定”按钮就能使设置生效了。5. 禁止超级账号名称被偷窃(黑客最爱用的) 打开组策略-&“计算机配置-&Windows设置-&安全设置-&本地策略-&安全选项-&网络访问:允许匿名SID/名称转换,右键单击该选项,执行右键菜单中的“属性”命令,选中其中的“已禁用”选项,再单击“确定”按钮退出组策略属性设置窗口,这样的话任何用户都将无法利用SID标识来窃取Windows Server 2008系统的登录账号名称信息了,那么Windows Server 2008系统受到暴力破解登录的机会就大大减少了,此时对应系统的安全性也就能得到有效保证了。6. 禁止U盘病毒“趁虚而入” 打开组策略-&用户配置-&管理模板-&系统-&可移动存储访问-&可移动磁盘:拒绝读取权限”和可移动磁盘:拒绝写入权限两个,右键选择“属性”命令,选中其中的“已启用”选项,再单击“确定”按钮退出组策略属性设置窗口。7. 禁止来自程序的漏洞攻击& & 打开组策略-&计算机配置-&Windows设置-&安全设置-&高级安全Windows防火墙-&高级安全Windows防火墙——本地组策略对象-&入站规则,右击打开新建入站规则向导设置界面;根据向导界面的提示,将规则类型参数设置为“程序”,然后选中“此程序路径”选项,并单击“浏览”按钮,将存在明显漏洞的目标应用程序选中,接下来选中“阻止连接”项目,最后再设置好新建规则的名称,并单击“完成”按钮,如此一来Windows Server 2008系统中的高级防火墙程序就会禁止那些存在明显安全漏洞的应用程序访问网络了,那样的话病毒或木马自然也就不能通过应用程序漏洞对本地服务器实施恶意攻击了。8. 谨防登录密码被木马窃取& & 首先以特权帐号登录进WindowsServer 2008服务器系统,依次点选该系统桌面中的“开始”、“运行”命令,在其后出现的系统运行对话框中,输入“control userpasswords2”字符串命令,单击“确定”按钮后,进入对应系统的用户账户控制对话框;& & 在对话框中单击“用户”标签,√上“要使用本机,用户必须输入用户名和密码”选项,之后选“高级”标签,进入标签设置页面;在该页面的“安全登录”处选中“要求用户按Ctrl+Alt+Delete”选项,同时单击“确定”按钮,如此一来任何一位用户包括网络管理员在尝试登录Windows Server 2008服务器时,都需要先按下Ctrl+Alt+Delete组合键,打开服务器系统的登录验证对话框,之后在其中正确输入系统特权账号的名称、密码等信息,才能安全登录进入Windows Server 2008服务器系统桌面,而在这个登录服务器系统的过程专业木马程序是无法窃取到登录帐号与密码信息的,如此一来系统特权帐号的登录密码就不会被轻易丢失了。9. 强制远程用户进行网络验证选择“程序-&管理工具-&服务器管理器,进入对应系统的服务器管理器界面;在右侧子窗格中找到“服务器摘要”设置项,并单击该设置区域下面的“配置远程桌面”按钮,进入Windows Server 2008系统的远程桌面属性设置窗口;在该属性设置窗口的“远程桌面”位置处,我们看到Windows Server 2008系统为远程用户提供了三个安全选项,要是我们希望局域网中的所有用户都能非常顺畅地通过远程桌面连接功能来对Windows Server 2008服务器系统进行远程控制时,那就需要将这里的“允许运行任意版本远程桌面的计算机连接”安全项目选中,不过轻易选中该安全选项,Windows Server 2008服务器系统容易遭受非法攻击。为了防止服务器系统开通远程桌面连接功能后会给自身带来安全麻烦,Windows Server 2008系统为远程控制用户提供了“只允许运行带网络级身份验证的远程桌面的计算机连接”安全设置选项,我们只要选中该安全控制选项,同时单击“确定”按钮退出设置对话框,那样一来Windows Server 2008系统日后就会强行对任何一位企图通过远程桌面连接功能控制服务器的用户执行网络身份验证了,通不过网络身份验证的远程控制用户自然就不能对Windows Server 2008服务器系统进行远程管理和控制了。默认XP SP3的远程不支持网络级别身份验证首先在客户端上打开注册表编辑器定位路径至:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa下打开security packages添加tspkg到最后一条后点取而关闭此窗口。然后定位到:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\下找到securityproviders编辑字符串添加数值:, credssp.dll(逗号后有个空格)然后确定关闭。重启系统后生效,然后再运行mstsc查看信息已经显示为支持网络级别身份验证了。10. 封堵特权账号漏洞& & 打开组策略-&计算机配置-&Windows设置-&安全设置-&本地策略-&安全选项-& “帐户:重命名系统管理员帐户”选项设置窗口,在该窗口的“本地安全设置”标签页面中,为Administrator账号重新设置一个外人不容易想到的新名称,比方说我们在这里可以将其设置为“CapInfo-ZhouQC”,再单击“确定”按钮执行设置保存操作,那样一来我们就能成功封堵Windows Server 2008系统的特权账号漏洞了。11. 封堵系统转存漏洞打开控制面板-&系统,进入Windows Server 2008系统的属性设置界面;& & 找到高级系统设置”功能选项,弹出高级系统属性设置界面,在该设置界面的“启动和故障恢复”位置处单击“设置”按钮,打开Windows Server 2008系统的启动和故障恢复设置对话框;在“系统失败”位置处,单击“写入调试信息”选项的下拉按钮,并从下拉列表中点选“无”,再单击“确定”按钮保存好上述设置操作,这么一来Windows Server 2008系统日后即使发生了系统崩溃现象,也不会将故障发生那一刻的内存镜像内容保存为系统转存文件了,那么本地系统的一些隐私信息也就不会被他人非法偷看了。12. 封堵网络发现漏洞& & 打开控制面板,双击该窗口中的“网络和共享中心”选项,再在其后界面中展开网络发现功能设置区域,选中其中的“关闭网络发现”选项,同时单击“应用”按钮保存好上述设置操作;依次单击“开始”/“设置”/“网络连接”命令,在弹出的网络连接列表窗口中,用鼠标右键单击目标本地连接图标,并执行快捷菜单中的“属性”命令,打开目标本地连接属性设置界面,取消默认选中的Link-Layer Topology DiscoveryResponder协议选项,再单击“确定”按钮,之后再将“链路层拓扑发现映射器I/O驱动程序”的选中状态一并取消,最后单击“确定”按钮执行参数设置保存操作.13. 封堵虚拟内存漏洞& & 打开组策略-&计算机配置-&“Windows设置-&安全设置-&本地策略-&安全选项-&“关机:清除虚拟内存页面文件”选项;接着用鼠标右键单击“关机:清除虚拟内存页面文件”选项,从弹出的快捷菜单中执行“属性”命令,打开目标组策略属性设置窗口,选中其中的“已启用”选项,同时单击“确定”按钮保存好上述设置操作,这么一来Windows Server 2008系统日后关闭系统之前,会自动将保存在虚拟内存中的隐私信息清除掉,那么其他用户就无法通过访问系统页面文件的方式来窃取本地系统的操作隐私了。14. 实战应用审核功能& && & DOS命令 “secpol.msc-&安全设置-&本地策略-&审核策略,在对应“审核策略”分支选项的右侧显示区域中,双击“审核账户管理”策略选项,选中“成功”和“失败”选项,再单击“确定”按钮关闭策略选项设置对话框,这样一来无论用户账户创建成功还是创建失败,Windows Server 2008系统都会自动记录下用户账号创建事件.
15.修改远程服务端口
WINDOWS远程默认端口3389的正确修改方式
很多朋友在使用WINDOWS操作系统的时候,都喜欢修改远程连接的默认端口.但是很多朋友由于修改端口的方法错误,导致自己不能远程操作服务器,给自己带来了麻烦.在这里,我给大家简单谈谈正确修改远程端口的方法
& && &在开始-----运行菜单里,输入regedit,进入注册表编辑,按先面的路径进入修改端口的地方&&
& && &HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp&&
& && &找到下面的 &PortNumber&,用十进制方式显示,默认为3389,改为任意可用端口。& &
& && &请注意,在这里修改过了以后,还没有修改成功,注册表文件的另外一个位置也必须做相应的修改,路径为
& && &HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp
& && &找到下面的 &PortNumber&,用十进制方式显示,并做出修改.
& && &到这里,你已经成功修改完注册表.值得提醒一下的是,网卡本地连接的高级属性里,TCP/IP筛选里,你必须打开新的远程端口号,否则你同样不能远程操作.&&
& &&&重新启动计算机,你就可以通过新的远程端口号连接了.& &
在windows 2008下必须修改防火墙的3389端口,否则还是不能连接
云币103 威望11 最后登录积分161注册时间帖子
程序猿[LV2], 积分 161, 距离下一级还需 1039 积分
云币103 威望11
Ubuntu安全设置指南及相关工具介绍
Ubuntu的默认安装机制给其带来了潜在的安全问题,比如默认开启了一些后门以及种种新的更新带来的BUG。本文将教会你关闭一些Ubuntu不安全的后门,以及针对当前Ubuntu漏洞保护你的系统。& & 1.修改默认设置& & 以下是被认为的三个不安全的设置:& & 1)重新配置共享内存& & 用文本编辑器打开“/etc/fstab”文件,并在文件中加入以下语句:& & tmpfs /dev/shm tmpfs defaults,ro 0 0& & 2)禁用SSH ROOT登录& & 使用文本编辑器打开”/etc/ssh/sshd_config”文件,将& & PermitRootLogin yes& & 改成& & PermitRootLogin no& & 3)限制对“SU”程序的访问& & 打开终端执行以下指令:& & sudo chown root:admin /bin/su sudo
& & chmod 04750 /bin/su& & 2.启用自动更新& & Ubuntu开发团队定期发布升级包,维持升级可以帮助你修复系统BUG以及增强安全机制。可是有很多朋友会忘记定期去更新,这个时候,我们最好打开系统自动更新。这样,当有新的更新可用时,系统会提醒你进行升级。& & 启用自动更新方法:& & 打开系统-&管理-&软件源,在网络更新标签里启用检查自动更新。& & 3.增强HOME目录安全性& & HOME目录安全性直接决定当前系统用户安全文件安全性,你可以通过以下方式来加强HOME目录安全性:& & 打开终端,执行指令& & chmod 0700 /home/redbots.cn #把redbots.cn换成你当前系统用户名& & 4.安装安全软件& & 虽然Ubuntu系统并不会轻易受到病毒的干扰,不过不排除系统漏洞带来的安全隐患,我们可以通过安装以下一些软件,从而关闭系统后门以及保护系统漏洞。& & grsecurity :Linux内核保护套件& & PaX& & :本软件以包含grsecurity,另外加强了Ubuntu内存溢出保护。& & Pro Police :IBM公司解决方案,用以避免栈溢出攻击。& & DigSig :帮助你通过用户定义的数字签名验证应用程序的完整性及安全性。
&& 5.安装额外辅助软件
& & 通过以上这些措施,从最常用的角度出发,基本增强了Ubuntu系统的安全性,如果你是专业用户,或者你对安全有更高层次的要求,可以继续看下面的内容,从中选用适当的防护软件。& & 1)ROOTKIT防护& & 如果你担心黑客利用系统漏洞在系统中植入Rootkit工具,可以安装以下软件,定期扫面检查:& & chkrootkit :提供rootkit扫描以及常见木马的查杀& & Rootkit Hunter :一款优秀的rootkit检测工具& & 2)防病毒软件& & 虽然说Linux系统下病毒相当少,统计也不过几百种,不过对于商业用户来说,还是有必要做下病毒防御工作的。& & Clam AntiVirus :一款基于UNIX系统的防病毒解决方案软件,包含电子邮件网关。& & AVG Anti-Virus :一款可商用的免费病毒查杀工具。& & BitDefender& &:恶意Shell脚本扫描工具。& & linux/linux.asp& target=_blank&Panda Antivirus :一款针对服务器连接的客户端病毒查杀工具。& & 3)防火墙& & 安装具备强大过滤规则的防火墙,可以极大程度的避免你的系统遭受入侵的恶意事件。& & Firestarter :具备友好界面的通用防火墙
& & SmoothWall :一款可配置性较高的专业防火墙,推荐商业用户使用。& & HardWall Firewall :一款基于Iptables的防火墙
& &&&Firewall Builder :一款针对不同应用环境预置丰富规则的防火墙软件。
& & BullDog :一款基于Iptables的高端防火墙工具,推荐商业用户使用。
4)网络工具这些工具可以帮助你检测及保护网络。Nagios :一款全套的网络监测软件Network Mapper :基于IP层的网络包扫描工具。Wireshark :一款集成网络数据检测及分析的完备性工具。Nessus :本工具可以扫描分析网络,并且可以进一步帮助你找出网络中的薄弱环节。EtherApe :图形化网络监控软件。tcpdump :简单而强大的网络监控软件。tcptrace :一款tcpdump分析工具。5)其它Snort :一款开源的入侵检测系统。OpenSSH :提供数据加密功能,确保主机与客户端的数据通信安全性。Open :一款虚拟专用网络系统。VPNstrongSwan :基于IpSec的虚拟专用网络系统。Kismet :无线网络探测器,保障无线网络的安全。GNU Privacy Guard :卓越的命令行加密及数字签名工具。TrueCrypt :一款虚拟加密磁盘工具。Thunderbird :Mozilla的安全电子邮件客户端。& & 6.总结& & 正所谓没有绝对的安全,本文所介绍的方法及工具也不能保证你的系统100%的安全,最终还在于你平时的维护和使用习惯,注意定期备份你的系统及重要数据,做好机器物理位置安全防范计划,如果机器落入不法份子(黑客)手中,那么这个时候你只能向上帝祈祷了…
云币103 威望11 最后登录积分161注册时间帖子
程序猿[LV2], 积分 161, 距离下一级还需 1039 积分
云币103 威望11
&&& && &&&SUSE Linux系统安全配置十条& &
1. 补丁、SSH及其它 1.1 补丁& &说明: 每个补丁的更新都意味着这是一个安全漏洞,或是有其他严重的功能问题,但如果更新补丁则又可能导致系统的一些异常,甚至引起一些服务的瘫痪。所以对于补丁的更新要慎重处理。从实际的角度来说,有4种做法:& && & 1)是在刚装完系统之后立刻更新补丁,然后再上应用。& && & 2)是通过外围防护手段来保护服务器,可以用防火墙、IPS之类的手段。& && & 3)是在测试机上更新补丁。不过值得注意的是,有些补丁带来的问题是隐性的,可& && & 能今天明天没问题,但后天出了问题,所以,观察的时间需要久一些。4) 如果你的SUSE服务器比较多,也可以通过NFS共享或者内部的FTP、HTTP服务 来完成。但FTP、HTTP又会带来另外的安全风险。SUSE的补丁升级,需要去下载Novell的新RPM。RPM包的安装会有先有后,不过多数情况下,RPM会根据其依赖关系来处理。另外,Novell也有一些在特殊情况下的提示,比如内核更新、C运行库等。Novell公司提供了一个强大的工具YaST,不过遗憾的是,YaST自身也不安全,有在线升级不安全临时文件建立漏洞。& && &加固方法:输入yast,在software中选择online update。 1.2 SSH& & SUSE上默认安装了OpenSSH,OpenSSH是目前比较流行并且免费的加密连接工具,但OpenSSH的低版本也存在不少安全漏洞,所以最好还是去http://www.openssh.org下载最新版本的。在升级到最新版本之后,SSH仍有很多需要安全加固工作要做。比如限制那些账户的登录、更改默认端口、指定可访问的网络等等,限于篇幅本文对此不做更详细的介绍。但至少有一点,是你必须要做的:将协议版本修改为2。因为版本1的安全问题实在太严重了,甚至可以截获密码。& && & 加固方法:vi /etc/ssh/ssh_config 修改protocol的值为2。& & 更改SSH端口,最好改为10000以上,别人扫描到端口的机率也会下降 vi /etc/ssh/sshd_config
将PORT改为1000以上端口 同时,创建一个普通登录用户,并取消直接root登录
useradd&&‘username’
passwd ‘username’
在最后添加如下一句:
7PermitRootLogin no& && && &#取消root直接远程登录
1.3 系统性能审计& & 对于运维人员来说,需要经常监控系统的性能情况,SUSE提供的sysstat就是一个检测系统状态的工具,比如比如CPU利用率、磁盘I/O等。sysstat默认每10分钟收集一次系统数据,可以用sar命令查看。sysstat首先会建立一个正常的性能曲线,当这个基线建立完毕以后,任何超出基线的活动都会给出提示。例如密码猜测、或者在业务高峰期以外的事件会导致CPU利用率过高,从而偏离正常的基线。注意sysstat收集的数据默认是在系统上存放一周,一周之后会被cron任务自动移除,可在/var/log/sa/目录下来维护收集的数据。但是默认安装的服务器版本是不包括sysstat包的,除非安装的时候选择了完全安装。& && & 加固方法:安装sysstat,并使用sar命令。 1.4 防火墙& &SuSEfirewall2是SUSE下面的包过滤防火墙,可以允许、拒绝数据的进出。默认是安装并且激活的,而且默认不允许任何服务,要开放服务就必须明确的启用(比如上面提到的SSH)。& &加固方法:在YAST里,Center--#Securityand Users--#Firewall进行防火墙策略调整。更细粒度的策略配置,可以在YASTCenter--#System#--/etc/sysconfig editor-Network/Firewall/SuSEfirewall2,也可直接编辑/etc/sysconfig/SuSEfirewall2文件。 1.5 系统安全定期检查脚本seccheck& && &&&seccheck是一个系统安全检查脚本,可以每天、每周、每月的定期生成报告,并且邮件发送。不过他在定期运行的时候比较占用资源,所以要选择在非业务高峰期来做。& && &&&加固方法:YASTCenter-System-#/etc/sysconfig-System/Security/Seccheck selection 1.6&&SUSE的安全应用框架AppArmor
AppArmor和SuSEfirewall2相比,他的特点在于对应用级的保护,可以管理应用的文件和目录访问等更细颗粒的操作,是一个白名单的机制,即指定哪些行为才是允许的,其他的拒绝,这样可以更好的隐藏内部系统。比如你的系统存在一个漏洞,但由于对其的操作没有受到白名单允许,所以操作会被拒绝。& &加固方法:YAST Center-Novell AppArmor可以调整细节策略、查看报告。如果不熟悉 的话,AppArmor还内设了一个向导功能2. 最小化xinetd 2.1 关闭标准服务& & SUSE使用xinetd,他比inetd更优秀也更方便使用。SUSE默认情况下是关闭所有服务的,在启用SSH之后,就可以配置xinetd的服务了。安全的做法也应该如此,先关闭所有服务,然后只启用必须的服务。& && & 加固方法:运行chkconfig查看所有服务的开启状态,对不需要的服务进行关闭。 2.2 可信网络接入& &&&对服务器的访问应该受到控制,所以需要用SuSEfirewall2或者其他的措施来控制,只允许那些可信的网络接入。& && &加固方法:& & vi /etc/sysconfig/SuSEfirewall2中的第10项配置。也可以在yastCenter#System#/etc/sysconfig editor进行配置。 2.3 telnet& & 如果不是有特别的理由,不要使用telnet,telnet使用的是不加密的网络协议,这就意味着从你的账号到你传输的数据,都可以被人窃听,严重的可以通过会话劫持控制你的系统。所以这里还是强烈建议使用SSH,虽然SSH也不是那么的安全。& && &加固方法:& && &打开的命令是chkconfig telnet on。& && &关闭的命令是chkconfig telnet off。 2.4 FTP& & 同样,在没有充分理由的情况下,不要使用FTP,尤其是匿名FTP。和telnet一样,FTP也不加密,也可以被人窃听或者会话劫持。SSH则提供了SCP和SFTP,可以取代FTP。要注意的是,有时候FTP可能是因为某些应用绑定的,比如我多次见到的WEB上传通道,所以你必须要用这种匿名FTP。如果必须要用FTP,那还是要做一些控制,要注意的一点是,FTP的目录应该受到控制,最好能有自己的分区。在SUSE上,vsftpd默认是不安装的。& && &加固方法:& && &打开的命令是chkconfig vsftpd。& && &关闭命令是chkconfig vsftpd off。 2.5 rlogin/rsh/rcp& &&&所有r系列的命令都应该被关闭。他们除了可以被窃听之外,在验证机制上也存在问题,并且还有其他的安全漏洞,比如缓冲区溢出、任意命令执行等。建议还是用SSH来取代。& && & 加固方法:& && &打开命令是& && &chkconfig rexec on& && &chkconfig rlogin on& && &chkconfig rsh on& && &关闭他们:& && &chkconfig rexec off& && &chkconfig rlogin off& && &chkconfig rsh off 2.6 TFTP& &TFTP一般用在无盘工作站,X-terminals等情况下。路由器或者其他网络设备的配置数据可以利用它复制,实现备份功能。当然,在这里,没有特殊原因,我们仍然建议你禁用。TFTP在SUSE上也不是默认安装的。& && &关闭命令chkconfig tftp off 2.7 IMAP&& 只有邮件服务器才会用到IMAP,一些邮件客户端(比如Eudora、Netscape Mail和Kmail)需要使用IMAP来检索远程邮件。& && &加固方法:关闭服务的命令& && &chkconfig cyrus off或chkconfig imap off。 2.8 POP& & 这是一个收邮件的服务,如果没有,同样也应关闭。& && && &加固方法:chkconfig qpopper off或chkconfig cyrus off。3. 最小化启动服务 3.1设置umask& &linux中的 umask 函数主要用于:在创建新文件或目录时 屏蔽掉新文件或目录不应有的访问允许权限。&&文件的访问允许权限共有9种,分别是:rwxrwxrwx&&它们分别代表:用户读用户写 用户执行 组读 组写 组执行 其它读 其它写 其它执行&&屏蔽的规则如下:&&1. 不管屏蔽码是多少,& &·新创建的文件默认不具有可执行允可权限。& &·新创建的目录默认具有可执行允可权限。&&2. 屏蔽码的格式为八进制格式,共三个八进制数。可设置如下 002 或 022 或 .....&&3. 其中的每一个八进制数由三位表示,分别是读 写&&执行& &&&4 2&&1&&例如 002 用二进制表示为: 0 0 0 -- 0 0 0 -- 0 1 0& &4 2 1 4 2 1&&4 2 1&&4. 产生的文件为 umask 值求反后的允可权限,即& &对于文件: ~002 = 664(新创建文件所应具有的访问权限)& &对于目录: ~002 = 775(新创建目录所应具有的访问权限)& &定期用密码工具检测用户密码强度 & & 系统默认的umask至少应设置成027,有些守护进程比如系统日志,会默认设置为任何人可以写文件。如果某个守护进程需要放开对权限的限制,可以考虑修改守护进程的启动脚本,给以其权限,同时又不会影响服务器的其他安全。& && &加固方法:& && &vi /etc/profile,改变umask的值为027。& &对/home下的所有用户,根据其shell类型,定义umask的值。 一般在/home/.profile中新增加一行umask 027。
3.2 SMTP& & 需要确认服务器是否需要处理邮件。SUSE中,默认安装的是Postfix,并且是激活状态。如果这台服务器是邮件服务器的话,需要注意的是,有权限在web界面上搜索附件是一个安全隐患。另外,如果你对邮件服务器管理有经验的话,你会知道为postfix规划一个chroot环境有多么重要。在chroot环境下,即使有人闯入了smtpd daemon,能够造成的损害也比较有限。& && &加固方法:&&打开:vi/etc/sysconfig/mail,设置SMTPD_LISTEN_REMOTE=&yes&。在防火墙上也必须启用。& &关闭:vi /etc/sysconfig/mail,设置SMTPD_LISTEN_REMOTE=&no&。 3.3运行级别& &SUSE里有两个主要的运行级别,级别5直接启动到X Windows,级别3则是字符界面。但注意的是,即使系统运行在级别3,用户仍然可以在shelle下执行startx来启动X Windows。& && & 加固方法:& && &设置为级别3,vi /etc/inittab,将id:5:initdefault中的5修改为3。 3.4 X Font Server& & 对于服务器来说,一般不需要运行X Windows,如果不使用图形界面的话,X Font Server就可以关掉,他是为图形界面提供字体集用的,并且XFS还有一些缓冲区溢出的问题。& && &加固方法:& && &关闭X Font Server:chkconfig xfsoff 3.5标准启动服务& & 每个系统的守护进程,如果你不能明确知道必须开启的话,都应该关闭。服务器上运行的脆弱应用,将大大增加风险。SUSE使用chkconfig来管理所有的系统服务脚本。这里要注意的是,SUSE的补丁程序可能会恢复启动某些服务,在更新补丁之前,最好还是先记录一下你已经启动哪些服务。还有就是一些守护进程会拥有一些账户,对这些账户要进行删除、锁定,避免别人登录,或者对他的Shell设置成/bin/false。& && &加固方法:& &&&添加、删除启动服务的方法是在在不同运行级别下的目录里,首先你需要知道你的系统运行界别,使用runlevel命令查看运行级别,如果运行级别是3的话,那就需要在/etc/rc.d/rc3.d修改。这里面以S开头的,都是启动时会运行的服务。例如mv /etc/rc3.d/S04rpcbind etc/rc3.d/K04rpcbind,是将rpcbind服务关闭。& &另外还需要对守护进程的账户进行删除或锁定,删除用户命令是userdel,可以删除这些用户:adm lp sync shutdown halt news uucp operator gopher,如果不用x windows的话可以删除games,如果没有匿名ftp可以删除ftp。 3.6 SMB和NMBSUSE提供了Samba,为windows用户提供文件和打印共享,这样unix系统可以在windows的网络上充当文件服务器、打印服务器,甚至为早期的windows系统充当域控验证服务器。Samba需要用到SMB和NMB协议,SMB是Windows的文件共享,NMB是NetBIOS消息块。如果不需要充当这些角色的话,就应该关闭这两个协议。关闭命令 chkconfig smb off 3.7 NFSNFS经常被利用来越权存取文件,所以没有需要也应关闭。即使真的需要NFS服务,也应该采取控制措施,包括限制访问的IP范围、文件的只读等。NFS的客户端服务也应关闭。& && &关闭命令:& && &chkconfig nfsserver off& && &chkconfig autofs off 3.8 NIS& & 除非十分有必要,否则不要使用NIS。NIS是网络信息服务的缩写,类似与windows中的域控制器。NIS虽然使用维护简单,但有设计上的安全问题,而且也完全可以用LDAP来替代。& && &关闭命令:& && &chkconfig ypserv off& && &chkconfig yppasswdd off 3.9 RPC端口映射& && &要想NIS能够运行,须首先运行portmap守护进程。但是RPC的验证机制很薄弱,很容易被绕过,却可以利用RPC得到很多重要的信息。除非是需要NIS,最好禁用。& && & 关闭命令:chkconfig portmap off 3.10 ncpfs脚本& & ncpfs是NFS、windows网络里共享文件需要用到的,但并非默认安装,如果没有网络共享在使用,就把它停掉。这个脚本会挂载在客户机的网络驱动器上,好在它不是一个持续的守护进程,所以相对来说不是那么危险。& && &关闭命令:chkconfig ncpfs off 3.11 apache&&&&只有WEB服务器才会用到,即使这台服务器是WEB服务器,也不要把数据库和其他环境支持都放在这台服务器上。& && &关闭命令:chkconfig apache2 off 3.12 SNMP& & 在规模比较大的网络里会经常用到的网络管理协议,要确定你是不是在使用依赖SNMP的远程监控工具,比如HP OpenView, MRTG, Cricket等。如果使用了SNMP,也建议更改默认的community string。在SUSE中,snmp的设置在/etc/snmpd.conf里。& && &关闭命令:chkconfig snmpd off 3.13 DNS Server& & 确定你的网络是否需要域名解析的服务器,针对DNS的攻击这两年越来越多,如果必须要用,建议在/etc/named.conf里 使用访问控制。比如,内部的DNS服务器不应该对外部开放查询。在比较大的网络里,一般都会使用内部和外部的DNS服务器分别提供查询,但一些小的网络没有条件内外分开,就应考虑访问控制。& && &关闭命令:chkconfig named off 3.14 squid cache 服务器& &Squid是一个代理服务器软件,其实Squid是一个较好的安全架构,因为他在客户端和服务器之间设置了一道代理,在一定程度上减少了系统泄露信息的风险,防止内部漏洞被发现。但是,在使用Squid的时候要仔细进行配置,有很多关于Squid cache的漏洞。如果不加安全考虑的话,外部仍然可以探测到内部的主机,或者利用你的cache来隐藏攻击者的真实IP。所以应该配置成:不允许外部人员未经认证使用你的缓存。& && &关闭命令:chkconfig squid off4. 内核优化 4.1 网络参数修改& &SUSE和其他Linux一样,把网络参数的修改都放在了/proc/sys/net/ipv4下,这里所有文件名中包含rate和max的变量都可以防止拒绝服务攻击。对于每个参数的具体解释可以参考相关文档,这里就不一一介绍。& && &建议修改:& && &net.ipv4.tcp_max_syn_backlog = 4096& && &net.ipv4.conf.all.accept_source_route = 0& && &net.ipv4.conf.all.accept_redirects = 0& && &net.ipv4.conf.all.secure_redirects = 0& && &net.ipv4.conf.default.rp_filter = 1& && &net.ipv4.conf.default.accept_source_route= 0& && &net.ipv4.conf.default.accept_redirects = 0& && &net.ipv4.conf.default.secure_redirects = 0& && &net.ipv4.icmp_echo_ignore_broadcasts = 1 4.2 其它参数& & 如果系统不是作为一个防火墙或网关的话,需要修改以下部分。& && &建议修改:& && &net.ipv4.ip_forward = 0& && &net.ipv4.conf.all.send_redirects = 0& && &net.ipv4.conf.default.send_redirects = 05. 日志 5.1 syslogSUSE使用了syslog-ng来记录日志。/var/log/messages包括了iptables, mail, news和messages,并把它们分别发送到(/var/log/firewall, /var/log/mail*, 和/var/log/news。文件权限默认是u=rw,g=r,o=。&&如果服务器比较重要,可以考虑把ssh,mail,引导信息等打印出来.在/etc/syslog.conf文件中加 入一行.:
Authpriv.*;mail.*;local7.*;auth.*;daemon.info /dev/lp0
执行/etc/rc.d/init.d/syslog restart
或者把日志发送到其它服务器保存
authpriv.*& && && && && & /var/log/secure
要把它发送到192.168.0.2,就可以这样修改
authpriv.* @192.168.0.2& && && && && &/var/log/secure 5.2 NTP& &NTP是网络时间协议,目的是保持计算机的时间与网络同步,默认安装,但是没有启用。系统时钟应该保持一个高准确度,这样日志的记录才能准确的反映时间。NTP启用后,在udp123端口监听。在配置上,应该忽略任何未明确允许的消息,只允许本地回环127.0.0.1和NTP服务器的消息,防止别人伪造时间服务器。对NTP的修改在/etc/ntp.conf下面。 5.3 日志文件权限& & 确保系统日志文件的所有权和权限是正确的,日志文件权限的配置在/etc/syslog-ng/syslog-ng.conf.in和/etc/logrotate.d 5.4 远程日志记录& & 配置系统日志记录发送到网络的其他主机上。注意的是,这个时候,就需要精确的系统时钟了,所以需要使用NTP。为什么要在远程记录日志呢?原因是,如果你的系统发生故障或者崩溃了,它是什么原因造成的?你就可以在这台远程记录日志的主机上找到原因。syslog-ng可以使用UDP或TCP。但是,除非这台远程主机能够保证一直可用、网络也很可靠,否则,建议使用TCP,防止数据丢失。& && &例如:在/etc/syslog-ng的syslog-ng.conf中添加& && &destination logserver {tcp(&10.10.10.10& port(514)); };6. 文件权限许可 6.1 在 /etc/fstab使用nodev方式& & 在 /etc/fstab使用nodev方式nodev选项的意思是禁止用户在任何分区上挂载未授权的设备,需要挂载设备时,应该在其他地方比如/dev。但也有例外,比如在chroot的环境中,经常需要在chroot目录中创建多个设备。如果在你的机器上使用了chroot,要注意这个nodev的选项。 6.2 在/etc/fstab中使用nosuid&&&&在/etc/fstab中使用nosuid在移动介质上,经常会有一些病毒、恶意软件,通过nosuid选项,可以阻止用户在光驱、软驱或者U盘上运行set-UID权限的程序。如果机器上有多个移动设备,也可以在/etc/fstab中相关设备的第四列设置nosuid。 6.3 禁止用户挂载可移动介质& & 禁止用户挂载可移动介质SUSE默认只有root用户可以挂载移动介质,如果/etc/fstab被改成允许用户挂载,可能会让病毒进入服务器,或者数据被修改删除。把它改回nouser选项更有助于安全。 6.4 验证passwd,shadow,group文件权限& & 验证passwd, shadow,group文件权限这些文件都有着默认的所有者和访问权限,都要修改/etc/shadow权限为644,并且定期检查。AIDE是一个不错的工具,可以提醒你对这些文件权限的注意。不过AIDE是Tripwire的非商业版改进,目前还是BETA版,可能不适合用于关键的生产系统上。 6.5 没有权限限制的目录应该设置粘滞位& & 没有权限限制的目录应该设置粘滞位你在任何一个目录上设置粘滞位以后,就只有文件所有者能够删除目录里的文件,而不是任何有写权限的人可以删除。设置粘滞位可以防止彼此覆盖文件,无论是意外、恶意行为。但也应在设置粘滞位之前,查看一下你的应用程序文档,避免破坏用用程序的依赖。& & 用这个脚本进行检查:for PART in `awk '($3 ~&ext2|ext3|reiserfs&) \{ print $2 }' /etc/fstab`; dofind $PART -xdev -type d \\( -perm -0002 -a ! -perm -1000 \) -printDone如果你的系统设置的足够安全的话,这里应该不会有任何的返回。 6.6 任何人都可写的文件 & &在某个文件上,如果任何人都可以写,将可能导致对系统的修改,或者对系统上的用户造成影响。避免这种文件的出现,要在编写脚本或者程序时加以注意,因为这会导致系统的完整性受到影响。一般来说,可以消除写访问(chmod o-w ),但对于关键服务器来说,还是要咨询一下相关厂商。& &用这个脚本进行检查for PART in `awk '($6 != &0&) {print $2 }' /etc/fstab`; dofind $PART -xdev -type f \\( -perm -0002 -a ! -perm -1000 \) -printdone& && &如果你的系统设置的足够安全的话,这里应该不会有任何的返回。 6.7 未授权SUID/SGID的可执行文件& &&&管理员要检查在系统里,有没有未授权的set-UID。另外如果可能的话,应做Set-UID的审计,或者减少这种Set-UID程序。检查方法:for PART in `awk '($6 !=&0&) { print $2 }' /etc/fstab`; dofind $PART \( -perm -04000 -o -perm-02000 \) \-type f -xdev -printdone 6.8 查找无主文件& & 不要让你的系统上有任何无主文件,无主文件可能是一个入侵者已经访问了你的系统,或者是不当文件包的维护安装造成的。比如删除了用户或者组,但是相关文件没有删除。另一种常见情况是软件安装时,没有正确的设置所有者。NFS挂载文件,会忽视用户ID和系统之间的映射同步,也有可能造成无主文件的产生。如果你在使用NIS或者LDAP,那可能是其他原因造成的,什么原因就需要你去仔细检查了。& && & 检查方法:for PART in `awk '($6 != &0&) { print $2 }'/etc/fstab`; do&&find $PART -nouser -o -nogroup -print&&done7. 系统的管理、授权、认证 7.1 在PAM配置文件里移除.rhosts支持&&.rhosts定义了哪些计算机和用户可以不用提供口令就在本地计算机上执行远程命令,很容易被攻击者利用。使用.rhosts是对用户访问控制规则的破坏,尽量关闭。如果有特殊原因,必须要使用,那就需要一些预防措施。永远不要在.rhosts里使用+通配符。.rhosts必须指定特定的可信任用户名,比如trustedhost DB1,而不是trustedhost。这种在配置HA的时候常见。要避免信任关系之外的主机,而且防火墙或者其他安全设备应该阻止外部的rlogin/rsh/rcp访问。最后,还要确保.rhost文件只有所有者可读。例如文件权限600。 7.2 /etc/ftpusers& & /etc/ftpusers的列表里定义了哪些用户不允许使用系统的FTP,一般来说,应该只有普通用户可以使用FTP,而不是system这种类型的账户。当然,root用户永远都不应该使用FTP方式直接传输文件。SUSE提供了一个netcfg的包,预填充了不该使用FTP的账户。 7.3 防止X Server在tcp6000上监听& && &X Server在TCP6000上监听,接受来自其他客户端的请求。但是,XServer使用了一个相对不安全的身份验证协议,攻击者可以未授权访问到本地X Server上。使用&-nolisten tcp& 方式可以取消X Server在TCP6000上默认监听。 7.4 限制用户使用at/croncron.allow、 at.allow定义了谁可以使用crontab、at命令在预定的时间运行作业。在很多系统上,只有系统管理员有这种能力。即使某个用户不在cron.allow里面,用户仍然可以运行cron作业。cron.allow控制的是:crontab命令调度的权限、修改cron作业的权限。注意:不要修改/etc/at.deny和/etc/cron.deny文件,除非你的确了解他们,这两个文件里都有合理的默认内容。如果对at和cron必须加以控制,创建/etc/at.allow和/etc/cron.allow文件,增加适当的用户。 7.5 限制crontab文件的权限& &&&系统的crontab文件只能由cron守护进程(运行超级用户权限)和crontab命令(set-UID为root)访问。允许未授权的用户读取修改crontab,可以让用户获得权限提升。 7.6 配置xinetd的访问控制可使用简单的基于IP的访问控制,限制对xinted的非法连接。现在比较流行的工具是PortSentry,可以用于监视那些试图访问未使用端口的行为。然后再使用系统防火墙SuSEfirewall2来控制。 7.8 限制root登录到系统控制台root直接登录到系统控制台是不允许的,除非特别情况。在其他时候,管理员应该通过无特权的账户并使用授权机制,比如su、sudo来获取额外的特权。这些机制至少提供了审计的线索。/etc/securtty让你可以规定root可从哪个tty登录。/etc/securtty列出来的都是可以登录的,注释、不存在的都是不允许root登录的。 7.8 设置LILO/GRUB密码& & 大多数的Linux系统,默认在引导时,有装载提示,这让攻击者破坏正常的引导变得很容易。对他设置密码,这样在试图修改LILO或GRUB的时候,就需要验证,当然,密码要够强壮。& && &方法& && &A、如果你有/etc/lilo.conf 文件在/etc/lilo.conf前面添加:password=& && &以root执行命令:chown root:root/etc/lilo.confchmod 600 /etc/lilo.conf& && &B、如果是/etc/grub.conf文件在/etc/grub.conf取消password 的注释。以root执行命令: & && & chown root:root /etc/grub.confchmod 600/etc/grub.conf 7.9 对单用户模式验证& &&&在一些Linux上你可以在LILO模式下键入linuxsingle进入单用户模式,或者在GRUB的引导编辑菜单。这就带来风险,进入系统的认证应该始终需要root级别的访问,防止攻击者物理访问系统。SUSE默认禁止这种进入方式,但是作为检查来说,还是需要检查一下。如果被改动的话,要搞清楚原因并恢复。8和9这两个项目都为了解决物理/启动的安全问题,也可以考虑设置只从主硬盘启动,或者设置BIOS密码。 7.10 限制NFS客户端请求特权端口设置:NFS服务器忽略来自客户端的低于1024的源端口访问,这不会妨碍到正常的NFS 操作,但可以阻止一些使用工具软件攻击的人。其配置文件在/etc/exports里。& && &如果通过NFS把文件共享出来,那么一定要配置”/etc/exports”文件,使得访问限制尽可能的严格.这就是说,不要使用通配符,不允许对根目录有写权限,而且尽可能的只给读权限.在/etc/exports文件加入:
/dir/to/export host1.mydomain.com(ro,root_squash)
/dir/to/export host2.mydomain.com(ro,root_squash)
建议最配置/etc/exports文件 7.11 syslog的消息接收& &&&你的服务器是日志服务器吗?需要从网络上、其他主机上接收日志吗?如果是肯定的,启用日志系统的远程消息接受。默认情况下的系统日志的守护进程是syslogd,不在udp514上监听来自其他系统的日志消息(Solaris相反,默认是接受的。)成立一个独立的日志服务器来记录一个或多个日志,是比较推荐的安全做法。但是,如果你不是日志服务器的话,就不应该打开udp514的监听,因为这些信息的传递没有任何认证机制。攻击者也可以利用此端口发起DDOS攻击,或者不停的发送日志消息填满你的日志系统,这样以后的攻击就不会被记录到了。在syslog-ng.conf.in里,把下面这行加上#注释掉#udp(ip(&0.0.0.0&) port(514))8. 用户账户和环境 8.1 锁定系统账户& &&&有很多账户是系统账户,不会被人使用,锁定这些账户有助于减少攻击者的利用。这些账户不应该有shell。如果没有守护进程/服务使用的话,甚至可以将账户删除。比较简单的做法是直接停用,停用的做法是锁定password,设置一个无效的shell(比如/bin/false)。SUSE里使用/bin/false而不是/dev/null和/bin/nologin。 8.2 删除不必要账户使用awk -F: '($2 == &&) { print $1 }' /etc/shadow查找空密码账户。空密码账户是指任何人都可以登录,而不用提供密码。所有的账户都应该有健壮的密码,或者使用锁定密码的字符串:NP、*LOCKED*。&&删除不必要的用户和组用户
&&删除的用户,如adm,lp,sync,shutdown,halt,news,uucp,operator,games,gopher等
&&删除的组,如adm,lp,news,uucp,games,dip,pppusers,popusers,slipusers等
&&可以设置不可更改位
&&chattr +i /etc/passwd
&&chattr +i /etc/shadow
&&chattr +i /etc/group
&&chattr +i /etc/gshadow 8.3 设置账户过期和密码参数& &&&强制用户定期改变密码,设置所有活跃账户(除了系统账户)强制更改密码,例如:每90天(-M 90),下次允许更改密码之前最少的天数7天 (-m 7),用户在密码过期前28天收到警告(-W 28)。一旦密码过期,账户将被锁定7天(-I 7)。最后,密码最小长度为6。这只是一些建议,你需要根据你的实际情况在/etc/login.defs进行调整。&&修改/etc/login.def文件
&&PASS_MAX_DAYS& &120 设置密码过期日期à
&&设置密码最少更改日期àPASS_MIN_DAYS& &0& &
&&PASS_MIN_LEN& & 10& &设置密码最小长度à
&&PASS_WARN_AGE&&设置过期提前警告天数à 7&&
&&确保/etc/shadow为root只读
&&确保/etc/passwd为root读写
8.4 确认在passwd,shadow,group里没有‘+’ & & 使用命令grep ^+: /etc/passwd /etc/shadow /etc/group检查。+用于NIS的数据映射配置,在passwd,shadow,group文件里存在+号,将会为攻击者提供一个提权的途径,应该把它们都删掉。 8.5 确认除了root外,没有UID为0的账户& & 检查方法:awk -F: '($3 == 0) { print $1 }'/etc/passwd任何UID为0的账户都拥有系统的超级用户权限,唯一的超级用户应该是root,而且还应该通过非特权账户su来获得权限。 8.6 用户主目录应为750权限或者更多的限制& & 用户主目录如果有任何人可写的目录,可以导致别人窃取、修改数据,或者获得其他用户的权限。对其他组成员,取消读、执行权限。不过在全局对用户主目录的权限进行修改,可能会造成服务中断。 8.7 删除User.netrc文件& &find / -name .netrc.netrc是ftp命令的初始化文件,能够给Ftp带来一定的方便。但文件可能包含未加密的密码。在上出他们之前,要考虑.netrc文件的作用,因为可能会影响应用。但是一个良好设计的应用,不应该使用.netrc。 8.8 设置默认的用户umask值 & &将umask设置为077,这样由用户创建的文件和目录不会被系统上任何其他人可读。如果需要改变权限可通过chmod命令。可将uamsk命令插入到shell配置文件中来实现,例如.profile, .cshrc, etc.等。027可让同组人员可读,而022的umask值可让系统上每个用户都可读。但是,过于严格的umask会导致软件的安装问题,比如umask设置为700,那么他的应用程序或者守护进程就无法读取文件。所以一般umask的设置不能过于严格,或者在文件安装之后再控制umask。 8.9关闭核心转储& & 这个问题需要问一下你的软件开发商们,他们是否需要调试程序,或者需要看到debug的信息?如果答案是否定的,则可以关闭。核心转储会大量消耗磁盘空间,并且核心转储会包含敏感数据。开发人员需要用这个功能来帮助调试。/etc/security下的limits.con文件是用来控制核心转储的开关。 8.10限制root账户su& &su命令允许你成为系统上的其他用户,常常被用来作为root执行命令。如果不希望某些用户可以su到root,在/etc/pam.d/su下加入:& && & auth required pam_wheel.so& &&&这行命令的意思是,只允许wheel组的用户,可以su为root。其他用户在su root的时候,会收到一条消息,说该密码是不正确的。通过限制使用root账户,即使用户知道root密码,也无法成为root用户,除非它能够物理上控制这个服务器,或者他被添加到wheel组。这样就增加了一个安全保护层,防止未经授权的访问。9. 杀毒 & & 在有些系统上,比如邮件服务器、文件服务器,主要是给windows用户使用的,应该有杀毒软件来保护。linux平台下的杀毒软件有:Sophos http://www.sophos.com/ 商业软件NAI Virus Scan& && && && && & 商业软件McAfee http://www.mcafee.com/ 商业软件ClamAV http://www.clamav.net/ 开源软件f-prot Antivirus& && && && &&&商业软件f-prot Antivirushttp://www.f-prot.com 商业软件Trend Micro& && && && && && && & 商业软件Computer Associates InoculateIThttp://www.cai.com/商业软件10. 其它安全配置 10.1 对于危险文件创建符号链接& &/root/.rhosts, /root/.shosts, /etc/hosts.equiv等文件的访问控制很薄弱,我们在第七章里已经讨论过了,攻击者会经常针对这些漏洞进行攻击,把他们链接到/dev/null,意味着任何数据都会被简单的抛弃。& && & 可以使用这个脚本:for FILE in/root/.rhosts /root/.shosts /etc/hosts.equiv \/etc/shosts.dorm -f $FILEln -s/dev/null $FILEdone 10.2 打开TCP SYN Cookie的保护& &SYN攻击是一种拒绝服务攻击,目的在于消耗系统资源。这个攻击是由于TCP连接握手协议的漏洞,对方发送SYN信息,然后不再回应。这样的攻击就使得系统与数百或者上千的连接保持半开状态。是一个非常简单的攻击方法。 10.3 LILO/GRUB安全给LILO和GRUB加上一个i的属性,这样他既不能删除也不能修改,可以有效地防止配置文件发生任何变化(不管是意外或者其他原因)。如果想要修改,必须用chattr -i命令。chattr +i /etc/lilo.confchattr +i /boot/grub/menu.lst 10.4 配置sudo& &&&sudo的是一个文件包,它允许管理员授权给用户做一些特权,这些特权超出了用户的权限,比如重启web服务。我们举个例子,因为你的web服务有bug或者不断的出现故障,那你可能需要不断地修改web的配置文件来让找出问题原因。这时候如果你要用su - root的话就会非常繁琐,因为你只是在改完配置文件之后,重启一下web服务而已。这时候sudo就派上用场了,它允许管理员授权给该用户权利来重启web服务。sudo安装之后,使用visudo来配置而不是vi配置文件,因为visudo有错误检查功能。 10.5 删除所有的编译器和汇编程序在安全上,C编译器会构成对系统可信的威胁。编译器应该安装在开发系统的机器上,而不是一个生产应用系统上。这里只是提醒注意检查。检查这些:gcc、gcc3、gcc3-c++、 gcc3-g77、gcc3-java、gcc3-objc、gcc-c++、gcc-chill、gcc-g77、gcc-java、gcc-objc、bin86、dev86、nasm。&&可以收回系统编译器的权限或删除
&&如: chmod 700/usr/bin/gcc 10.5 删除finger程序&&删除finger程序,具体方法如下Finger是UNIX系统中用于查询用户情况的实用程序
&&#rpm –e finger
云币103 威望11 最后登录积分161注册时间帖子
程序猿[LV2], 积分 161, 距离下一级还需 1039 积分
云币103 威望11
暴力破解FTP服务器技术探讨与防范措施
随着Internet的发展出现了由于大量傻瓜化黑客工具,任何一种黑客攻击手段的门槛都降低了很多,但是暴力破解法的工具制作都已经非常容易,大家通常会认为暴力破解攻击只是针对某一种FTP服务器发起的攻击,能具有代表性吗?可以拓展到其他的网络?或服务器上吗?答案当然是肯定的。暴力破解这种软件,使用起来没有什么技术含量原理就是一个接一个的试,直到试验出正确的密码,也就是破解成功了。不过这种破解方式成功几率不高,耗费时间多,技术成分低,不是迫不得已是不使用的。在网络的实际情况中,很多FTP服务器虽说都是经过了层层的安全防护的,即便是经过防护的FTP服务器,同样可以在攻击者简单地调整攻击方式以后,运用暴力破解快速突破。本文谈谈各种攻击技术对服务器的影响,仅供网络管理人员在平时工作中,制定安全防范策略时参考使用。一、网络本身的负载能力与高速网络所有的网络攻击,都是基于网络而发起的,这就决定了网络是一切网络攻击、安全防护技术的根本。如果攻击者处于一个网络资源极度缺乏的环境之中,想要发起高级的网络攻击也是力不从心的。同时,如果防御者处于一个并非优秀的网络中,网络正常服务本身都很难为正常用户提供,更不用说进行网络安全防护了。1. 网络带宽的束缚从国内刚刚出现互联网开始,到今天网络的普及,网龄比较长的网民都经历了使用调制解调器拨号上网的举步维艰,也都经历了1Mb/s、2Mb/s甚至10Mb/s的高速网络,而网络安全,同样经历了这样的一个由慢到快、从低速到高速的过程,在这个过程之中,很多原本看起来根本不可能的攻击技术,也已经可以很顺畅地发起了。很多攻击者在进行这样的攻击的时候,都会发现一个很奇特的现象:刚刚对目标发起了分布式的暴力破解攻击,10分钟后目标服务器因为带宽拥堵,竟然瘫痪了……对攻击者来说,这是很让人啼笑皆非的事情,因为攻击者的目标原本是为了通过暴力破解获得某些机密的、内部的FTP资料,但是无意间却造成了目标服器的整体瘫痪,这显然是攻击者不愿意看到的结果。这也是攻击者和网络安全工程师因为网络带宽造成的困扰之一。另一方面,暴力破解因为自身特性,所有的验证过程都是通过向服务器据提交信息、获得服务器返回信息并进行判断而进行的。在这个过程中,不管是服务器的网络带宽质量,还是攻击者使用的僵尸计算机本身的网络带宽速度,都在很大程度上决定了暴力破解整个完成时间的长短。就目前的网络带宽来说,要顺畅、高速地发起FTP的暴力破解攻击,还是有一定难度的。一般情况下攻击者动用上百台僵尸计算机进行攻击就已经是暴力破解的极限,因为即使再增加僵尸计算机,网络带宽的限制也不允许更多的数据收发的进行。所以,第二个限制暴力破解攻击整体效率提高的因素,就是僵尸计算机本身的网络带宽质量。从现阶段国内四处都在进行的轰轰烈烈的网络速度提升来看,不难预见不久后的将来,整体网络速度将有非常大的提高。就像今天国际公认的平均个人网速最快的国家韩国一样,人均网速达到10Mb/s,20Mb/s甚至更多。虽然网络速度的提升正在飞速的发展着,但是对攻击者来说,不可能恰好子就遇到拥有高速网络的僵尸计算机或者目标服务器。于是就有读者提问:现阶段的攻击者是如何解决网络带宽的问题的呢?以后如果出现网络整体速度都得到很大提升的时候,攻击者的暴力破解攻又将有怎么样的发展呢?2.内部高速网络和分布式破解解决带宽难题先解决第一个问题:现阶段的攻击者是如何解决网络带宽的问题的呢?举例来说,一个攻击者妄图获得某会员制网站的FTP账户权限,因为里面有很多内部付费使用的资料。但是这个会员制网站服务器的网络带宽质量并不高,如果采用分布式的暴力破解攻击,可能十几台僵尸计算机就足以让这个服务器瘫痪了,攻击者显然是不愿意看到这样情况的发生的。在实际的网络攻击案例中,很多攻击者都遇到了这样的问题,他们的解决方法也很巧妙,也非常实用:利用内部网络通信的高速来解决暴力破解的网络带宽难题。有一定网络经验的网民都知道,中国现在的服务器,一般都是托管在IDC或者机房的,而正常情况下IDC或者机房会进行很多的网络带宽限制,在机房的入口路由或者机柜的防火墙上限制带宽,让由外对内的网络带宽变得很窄-毕竟机房很多情况下都是通过带宽来进行托管收费的。现在的服务器配置一般都是千兆网卡,但是对外的网络带宽不可能做到千兆全开。一般中小站点能购买5~10Mb/s的独立带宽就很不错了,也就是说这样的服务器在提供对外的访问的时候,即使网络堵塞了,用户打不开网站了,FTP无法提供正常服务了。实际上就服务器本身的硬件性能来说,还有极大的容余可以用来提供网络服务,只是出入口网络带宽不足而已。就目前国内的整体网络安全意识来看,对资深的攻击者来说,在一个存放着几百台服务器的机房中找寻一台&肉鸡&,并不是很难的技术问题。找到这样的内部服务器有什么用呢?攻击者当然可以选择用来发起暴力破解攻击。对一个千兆网卡来说,如果是在内部网络中进行访问,数据的中转和网络损耗本是可以忽视的。这就好比由一个1Mb/s的ADSL猫连接的两个家用计算机,虽然从网络上下载文件大概只有150Mb/s的速度,但是如果两个计算机之间传送文件的话,8Mb/s的内网速度还是很容易实现的。所以,现阶段的攻击者如果想要发起效率非常高的FTP暴力破解,在目标服务器的网络带宽存在束缚的时候,-机柜中的服务器,并利用内部网络高速的特点发起超快的FTP暴力破解。再说说另一个问题:以后如果出现网络整体速度都得到很大提升的情况,攻击者的暴力破解攻击又将有怎么样的发展呢?&&其实同第一个问题相比,这个问题已经在大范围内得到了解决,而且很多攻击者现在就是这样发起攻击的,那就是:分布式暴力破解。在之所有有些攻击者因为网络带宽的问题无法发起大范围的分布式暴力破解攻击,原因更多的还是目标服务器的网络带宽限制,而不是僵尸计算机本身的网络带宽。因为僵尸计算机的网络带宽就算不足,就算很慢,攻击者完全可以使用数量代替质量的方式,利用很多网络带宽不好的僵尸计算机发起大规模的暴力破解,毕竟因为网络安全意识低下,僵尸计算机还是很容易捕获的。当目标服务器的带宽在不久后的未来得到大力提升的时候,攻击者完全可以利用成千上万的僵尸计算机发起大规模的分布式暴力破解攻击,只要目标计算机的网络带宽足以承受这样的攻击,那么攻击者在极短的时间内就可以完成看似非常庞大的密码集的暴力破解攻击。二、CPU运算、处理能力低下的解决方法同几年前的硬件性能相比,现在的计算机、服务器的运算处理能力已经得到了飞速的发展。正如计算机专家普遍认为的一样,可以预见的是,硬件处理能力的提高将在很长一段时间内,持续而稳定地高速进步。1. 运算处理能力的束缚单就暴力破解来说,运算处理能力包括两方面的束缚:一方面是目标服务器的处理能力,另一方面是发起攻击的计算机的处理能力。目标服务器的处理能力决定了攻击者可以运用多大量级的攻击规模。比如针对一个普通的小型FTP服务器,典型的配置是4GB左右的CPU速度,2~4GB的内存容量。针对这样的小型FTP服务器,在不考虑网络带宽的理论状态情况下,攻击者使用每秒1次左右的暴力破解攻击效率就基本达到了极限,就算攻击者发起更高效率的暴力破解也无法获得更快的结果。在实际情况中,攻击者要发起这样效率的攻击是比较简单的,甚至不用使用到大规模的僵尸计算机群就可以做到。随着计算机硬件的发展,如果服务器在处理包含了数个指令的FTP暴力破解信息的时候,能够做到每秒理论上数十万、数百万次的请求和应答运算,那攻击者完全就可以放开手脚进行暴力破解攻击了。现在的网络中,有些攻击者动用庞大的僵尸计算机群,发起每秒上十万次的FTP暴力破解请求,因为FTP暴力破解的过程是通过连接服务器→获得连接信息→发送账户→获得需求密码信息→发送可能的密码→获得反馈信息→再次发起服务器连接,这样的过程循环进行的,所以看似快速的服务器处理能力并不能满足不断堆积的攻击者计算机连接请求。这就导致了很多攻击计算机发送的密码验证信息被丢弃,攻击计算机无法获得正常的服务器返回信息,最终导致暴力破解失败。发起攻击的计算机的处理能力决定了攻击者是否需要动用分布式的暴力破解攻击。同被攻击目标服务器不同的是,被攻击者控制的僵尸计算机的运算能力并不直接决定暴力破解的成败,而是对暴力破解的整个时间和成功率有非常重要的影响。在理论极限中,不考虑网络带宽,只考虑硬件处理能力的情况下,假使FTP服务器每次处理一个完整的FTP连接请求需要万分之一秒,而同时能处理的请求数目是10000个。那么,最完美的暴力破解模型是使用10000个僵尸计算机,完成万分之一秒内的暴力破解攻击。也就是说,在最小的目标服务器的处理能力下,使用目标服务器最大的处理能力来进行暴力破解。这样的暴力破解攻击成功率理论是100%,而在保证了成功率的基础上,时间是最短的。那么,现在的攻击者是如何解决服务器和僵尸计算机运算处理能力的呢?2. 分布式暴力破解提高成功率分布式暴力破解在很多时候是提高成功率的保障。对攻击者来说,目标服务器的处理能力是不可控的,攻击者是无法提高目标服务器的处理能力的,所以必须适应目标服务器的处理能力,由此才采用了分布式的暴力破解技术。采用分布式穷举的好处是,在攻击者不知道目标服务器的负载能力的时候,可以通过灵活的调整僵尸计算机的数量,来逐渐摸索目标服务器的负载能力,以便达到在目标服务器不丢包、不误报的情况下,在保证最高成功率的前
