如何在CentOS上配置基于主机的入侵检测系统
为ISSRealSecure的部署图,RealSecure是一种混合型的入侵检测系统,提供基于网络和基于主机的实时入侵检测。
其控制台运行在Windows2000上。
RealSecure的传感器是自治的,能被许多控制台控制。
各部分的功能如下:(1)ReaISecure控制台:对多台网络传感器和服务器代理进行管理;
对被管理传感器进行远程的配置和控制;
各个监控器发现的安全事件实时地报告控制台。
(2)NetworkSensor(网络引擎):对网络进行监听并自动对可疑行为进行响应,最大程度保护网络安全;
运行在特定的主机上,监听并解析所有的网络信息,及时发现具有攻击特征的信息包;
检测本地网段,查找每一数据包内隐藏的恶意入侵,对发现的入侵做出及时的响应。
当检测到攻击时,网络引擎能即刻做出响应,进行告警/通知(向控制台告警、向安全管理员发E-mail、SNMPtrap、查看实时会话和通报其他控制台),记录现场(记录事件日志及整个会话),采取安全响应行动(终止入侵连接、调整网络设备配置,如防火墙、执行特定的用户响应程序)。
(3)ServerSensor(服务器代理,安装在各个服务器上):对主机的核心级事件、系统日志以及网络活动实现实时入侵检测;
具有包拦截、智能报警以及阻塞通信的能力,能够在入侵到达操作系统或应用之前主动阻止入侵;
自动重新配置网络引擎和选择防火墙阻止黑客的进一步攻击。
以CentOS为例总结如何配置SSH安全访问
而为了节省成本或提高性能,不少人的独机和 VPS,都是基于 unmanaged 的裸机,一切都要自己 DIY。这时候,安全策略的实施,就犹为重要。下面这篇文章,我以 CentOS 为例,简单地总结一下如何配置 SSH 安全访问。 Linux SSH 安全策略一:关闭无关端口 网络上被攻陷的大多数主机,是黑客用扫描工具大范围进行扫描而被瞄准上的。所以,为了避免被扫描到,除了必要的端口,例如 Web、FTP、SSH 等,其他的都应关闭。值得一提的是,我强烈建议关闭 icmp 端口,并设置规则,丢弃 icmp 包。这样别人 Ping 不到你的服务器,威胁就自然减小大半了。丢弃 icmp 包可在 iptables 中, 加入下面这样一条: -A INPUT -p icmp -j DROP Linux SSH 安全策略二:更改 SSH 端口 默认的 SSH 端口是 22。强烈建议改成 10000 以上。这样别人扫描到端口的机率也大大下降。修改方法: # 编辑 /etc/ssh/ssh_config vi /etc/ssh/ssh_config # 在 Host * 下 ,加入新的 Port 值。以 18439 为例(下同): Port 22 Port 18439 # 编辑 /etc/ssh/sshd_config vi /etc/ssh/sshd_config #加入新的 Port 值 Port 22 Port 18439 # 保存后,重启 SSH 服务: service sshd restart 这里我设置了两个端口,主要是为了防止修改出错导致 SSH 再也登不上。更改你的 SSH 客户端(例如:Putty)的连接端口,测试连接,如果新端口能连接成功,则再编辑上面两个文件,删除 Port 22 的配置。如果连接失败,而用 Port 22 连接后再重新配置。 端口设置成功后,注意同时应该从 iptables 中, 删除22端口,添加新配置的 18439,并重启 iptables。 如果SSH 登录密码是弱密码,应该设置一个复杂的密码。Google Blog 上有一篇强调密码安全的文章:Does your password pass the test? Linux SSH 安全策略三:限制 IP 登录 如果你能以固定 IP 方式连接你的服务器,那么,你可以设置只允许某个特定的 IP 登录服务器。例如我是通过自己的 VPN 登录到服务器。设置如下: # 编辑 /etc/hosts.allow vi /etc/hosts.allow # 例如只允许 123.45.67.89 登录 sshd:123.45.67.89 Linux SSH 安全策略四: 使用证书登录 SSH 相对于使用密码登录来说,使用证书更为安全。自来水冲咖啡有写过一篇详细的教程,征得其同意,转载如下: 为CentOS配置SSH证书登录验证 帮公司网管远程检测一下邮件服务器,一台CentOS 5.1,使用OpenSSH远程管理。检查安全日志时,发现这几天几乎每天都有一堆IP过来猜密码。看来得修改一下登录验证方式,改为证书验证为好。 为防万一,临时启了个VNC,免得没配置完,一高兴顺手重启了sshd就麻烦了。(后来发现是多余的,只要事先开个putty别关闭就行了) 以下是简单的操作步骤: 1)先添加一个维护账号:msa2)然后su - msa3)ssh-keygen -t rsa指定密钥路径和输入口令之后,即在/home/msa/.ssh/中生成公钥和私钥:id_rsa id_rsa.pub4)cat id_rsa.pub authorized_keys至于为什么要生成这个文件,因为sshd_config里面写的就是这个。然后chmod 400 authorized_keys,稍微保护一下。5)用psftp把把id_rsa拉回本地,然后把服务器上的id_rsa和id_rsa.pub干掉6)配置/etc/ssh/sshd_configProtocol 2ServerKeyBits 1024PermitRootLogin no #禁止root登录而已,与本文无关,加上安全些#以下三行没什么要改的,把默认的#注释去掉就行了RSAAuthentication yesPubkeyAuthentication yesAuthorizedKeysFile .ssh/authorized_keysPasswordAuthentication noPermitEmptyPasswords no7)重启sshd/sbin/service sshd restart8)转换证书格式,迁就一下putty运行puttygen,转换id_rsa为putty的ppk证书文件9)配置putty登录在connection--SSH--Auth中,点击Browse,选择刚刚转换好的证书。然后在connection-Data填写一下auto login username,例如我的是msa在session中填写服务器的IP地址,高兴的话可以save一下10)解决一点小麻烦做到这一步的时候,很可能会空欢喜一场,此时就兴冲冲的登录,没准登不进去:No supported authentication methods available这时可以修改一下sshd_config,把PasswordAuthentication no临时改为:PasswordAuthentication yes 并重启sshd这样可以登录成功,退出登录后,再重新把PasswordAuthentication的值改为no,重启sshd。以后登录就会正常的询问你密钥文件的密码了,答对了就能高高兴兴的登进去。至于psftp命令,加上个-i参数,指定证书文件路径就行了。 如果你是远程操作服务器修改上述配置,切记每一步都应慎重,不可出错。如果配置错误,导致 SSH 连接不上,那就杯具了。 基本上,按上述四点配置好后,Linux 下的 SSH 访问,是比较安全的了。
CentOS Debian Ubuntu哪个系统好?
文章目录CentOSDebianCentOS与Debian哪个好?Ubuntu买VPS时有CentOS、Debian、Ubuntu三种操作系统可以选择,Linux下哪种系统更好是很多新人都会遇到的问题,在此,我们分析一下Ubuntu、CentOS及Debian各自的性能及使用经验。做服务器的很少会用Ubuntu,所以我们最后分析这个。先来看看使用率较高的CentOS和Debian。CentOS很多商业性公司服务器都是使用CentOS系统,CentOS简约,命令行下的人性化做得比较好,稳定,有着强大的英文文档与开发社区的支持。相对debian来说,CentOS略显体积大一点,是一个非常成熟的Linux发行版。DebianDebian更适合于作为服务器的操作系统,它比Ubuntu要稳定得多。Debian整个系统基础核心非常小,不仅稳定,而且占用硬盘空间小,占用内存小。128M的VPS即可以流畅运行Debian,而CentOS则会略显吃力。但是由于Debian的发展路线,使它的帮助文档相对于CentOS略少,技术资料也少一些。CentOS与Debian哪个好?在国内服务器中,使用CentOS的要多于Debian,而国外则Debian稍多些。选择Debian是因为它是最大的社区发行版,有着严格的组织来维护,有着成千上万个超级黑客在贡献,而且有着最大的软件仓库,现在已经达到30000多个,有着大量的文档资源。而CentOS的更新比较慢,软件库软件版本过于陈旧,虽说稳定但是无法发挥出VPS的硬件特性。虽然也有社区,但是它没有固定的组织来管理,没有收入来源。另外,Debian 6涉及到WEB服务器的软件包都更新到了比较新的稳定版本,并且借助apt命令直接安装非常快捷。选择CentOS大多是因为系统的稳定和可靠性,Debian发展过快,各个版本、组合之间测试较少稍显不成熟,系统有许多内核和稳定性问题。Debian很时髦,有什么新玩意就上,而CentOS开启的内核选项都是非常保守。所以,从安全、稳定角度出发,主要的服务商和项目都仍然首选CentOS系统。下面看一些具体的比较:从安全上说CentOSDebian从性能下降说CentOSDebian硬件支持特别是虚拟化CentOSDebian默认内核配置性能测试DebianCentOS发开环境通用性DebianCentOS最后,如果你是开发者和狂热的性能追求者或者是VPS中的服务器建议用Debian,如果是VPS供应商、电子商务网站,要求很高的稳定性、安全性,则建议采用CentOS。另外,对于初玩者,如果VPS配置太低(OPENVZ内存在128M以下,或者XEN架构内存在192M以下)建议采用Debian,否则建议采用CentOS,以获取更多的在线帮助与支持,让自己入门更轻松。UbuntuUbuntu近些年的使用率有所增加,它用户界面漂亮、管理系统完善、软件源支持强大、技术社区丰富,对硬件的兼容性也不错。然而,服务器更需要的并非这些,所以决定了它更适合于桌面操作系统,在自己电脑上安装或许要比服务器中更适合一些。对于Linux,ubuntu系统资源消耗且不稳定只能被比喻成鸡肋。服务器需要的只是一个简约、稳定、易用的系统而已!Ubuntu比较鸡肋还有一个原因就是对NGINX的支持太弱,而Nginx性能要远远高于Apache。所以,对于新手,基本应该选择CentOS系统而非Debian和Ubuntu。在确定选择CentOS后,我们还需要确定是用32位系统还是64位系统。在此,笨鸟的建议是,如果你用的VPS是非常牛的配置,那你用64位比较合适;但如果服务器一般,还是老老实实的用32位吧!
CentOS7的性能是不是提升很多
一、CentOS的Services使用了systemd来代替sysvinit管理
1、systemd的服务管理程序:
systemctl是主要的工具,它融合之前service和chkconfig的功能于一体。可以使用它永久性或只在当前会话中启用/禁用服务。
systemctl可以列出正在运行的服务状态,如图:
systemd-cgls以树形列出正在运行的进程,它可以递归显示控制组内容。如图:
2、如何启动/关闭、启用/禁用服务看
启动一个服务:systemctl start postfix.service
关闭一个服务:systemctl stop postfix.service
重启一个服务:systemctl restart postfix.service
显示一个服务的状态:systemctl status postfix.service
在开机时启用一个服务:systemctl enable postfix.service
在开机时禁用一个服务:systemctl disable postfix.service
查看服务是否开机启动:systemctl is-enabled postfix.service;echo $?
查看已启动的服务列表:systemctl list-unit-files|grep enabled
说明:启用服务就是在当前逗runlevel地的配置文件目录/etc/systemd/system/multi-user.target.wants/里,建立/usr/lib/systemd/system里面对应服务配置文件的软链接;禁用服务就是删除此软链接。如图:
查看了/usr/lib/systemd/system 里的文件,语法跟旧版/etc/init.d/里的系统服务脚本完全不同了。
二、修改系统运行级别:
1、systemd使用比sysvinit的运行级更为自由的target替代。第3运行级用multi-user.target替代。第5运行级用graphical.target替代。runlevel3.target和runlevel5.target分别是指向 multi-user.target和graphical.target的符号链接。
可以使用下面的命令切换到逗运行级别3 地:
systemctl isolate multi-user.target或systemctl isolate runlevel3.target
可以使用下面的命令切换到逗运行级别5 地:
systemctl isolate graphical.target或systemctl isolate runlevel5.target
2、如何改变默认运行级别看
systemd使用链接来指向默认的运行级别。在创建新的链接前,可以通过下面命令删除存在的链接: rm /etc/systemd/system/default.target
默认启动运行级别3 :
ln -sf /lib/systemd/system/multi-user.target /etc/systemd/system/default.target
默认启动运行级别5 :
ln -sf /lib/systemd/system/graphical.target/etc/systemd/system/default.target
systemd不使用/etc/inittab文件。
3、如何查看当前运行级别看
旧的runlevel命令在systemd下仍然可以使用。可以继续使用它,尽管systemd使用 ‘target’ 概念(多个的 ‘target’ 可以同时激活)替换了之前系统的runlevel。
等价的systemd命令是systemctl list-units –type=target
三、其他配置工具:
1、setup和ntsysv工具还是保留了,但是功能已大大减弱,以前ntsysv工具可以控制所有系统服务的自启动,现在只能控制少部分服务。
2、/etc/resolv.conf这个DNS配置文件没变。
3、/etc/sysconfig/network-scripts/ifcfg-ens192网卡配置文件名字和一些选项有所变化。
4、引导方式改用grub2引导,grub2有如下特点:1、模块化设计;2、支持多体系硬件架构;3、支持国际化多语言;4、独立内存管理;5、支持脚本语言。
附:systemd简介
systemd是Linux下的一种init软件,由Lennart Poettering带头开发,并在LGPL 2.1及其后续版本许可证下开源发布。其开发目标是提供更优秀的框架以表示系统服务间的依赖关系,并依此实现系统初始化时服务的并行启动,同时达到降低Shell的系统开销的效果,最终代替现在常用的System V与BSD风格init程序。
与多数发行版使用的System V风格init相比,systemd采用了以下新技术:
采用Socket激活式与总线激活式服务,以提高相互依赖的各服务的并行运行性能;
用cgroups代替PID来追踪进程,以此即使是两次fork之后生成的守护进程也不会脱离systemd的控制。
从设计构思上说,由于systemd使用了cgroup与fanotify等组件以实现其特性,所以只适用于Linux。
centos哪个版本稳定好用?
1.都说redhat是linux的代名词,也就是说redhat的linux被大多数人认可。
可是:RedHat.Enterprise.Linux.5 与 redhat linux 9.0 还有redhat fedora core 三者之间的具体关联和区别是什么? centos又是从哪冒出来的,我们公司用的就是centos,这个好吗,好在哪里?
redhat成名的原因:历史悠久,1993年就开始做linux;公司运营,提供完整的解决方案,更专业,而不像debian是社区形式的;独创rpm包,使linux安装软件变得非常简单,免去编译的麻烦。
redhat在发行的9.03版之后,就不再延续以前的开发代号,而是以RedHat.Enterprise.Linux命名(简称rhel)即redhat企业版,现在已经开发到5,rhel好像是从3开始,需要客户购买license,即想获得系统的后续更新与服务是需要付费的(可以免费更新60天,而且如果不想享受更新,系统也是可以免费使用的。),而其个人桌面免费版交给redhat社区在做,这个社区是可以获得redhat公司支持的,这个社区发布的版本就是fedora(直译也是一种男士帽子),一年两个版本,现在已经发行到10,fedora一直是rhel的一个实验场,每个版本所采用的软件,内核与库版本几乎都是最新的,因而配置起来有些困难,不过基于redhat的基础,使用fedora的人仍然占很大的比例。centos是将rhel再次编译,去掉redhat标志,并有社区发布的linux版本,所以,centos与rhel几乎是没有区别的,主要的区别就是不用付费即可使用,从rhel的角度来说,centos是非常适合企业使用的。
2.据我所知,redhat是linux的发行厂商,除此之外还有ubuntu,debian,suse,redflag等,既然linux是免费的,为什么会有这么多公司专门做linux的发行版本呢,不赚钱为什么还要做呢?而且我觉得他们肯定能从中获取利益的,但我不知道这其中的猫腻。明白的朋友给我多讲讲这个。
如果发行版本是可以盈利的,那linux内核的作者linus能得到什么好处呢?
linux内核的每次升级都是linus这个最初的作者一直在搞的吗?每次升级花费的人力物力,对这个作者有何经纪上的回报吗?
linux盈利方式:linux个人桌面版是可以免费获得并使用的,但像redhat企业版,redflag红旗企业版,是需要购买服务的,企业版主要针对的是银行,政府,或者大型企业这种对于稳定性和安全行要求较高的行业,比起昂贵的unix,linux还是有销路的。个人桌面版也并不是无利可图的,至少很多linux社区不会赔钱,因为为社区工作的人都是分布在世界各地的,开发linux也是利用业余时间来做的,不为了获得报酬,只为了一份执着而工作,社区的linux版本发布后,用户可以购买linux安装光盘,虽然光盘很便宜(比起微软的系统),但由于成本几乎为0,所以还是有盈余的。再有,现在市面上有很多预装ubuntu的笔记本销售,比如dell,那么戴尔肯定要付给ubuntu费用的,当然,这个费用要比预装vista低得多。
现在linux的内核应该是GNU在做,而不是linus。
3.上面说了这么多发行版本的linux,请问哪几种比较好,好在哪里?是不是根据linux的用途不同,选择linux的版本也应有所不同呢?麻烦具体说说各个版本的长处与缺点。
redhat企业版(rhel),适合企业使用,出色的稳定性和兼容性表现在每个版本都使用了比较成熟的库与内核,并且对一些大型的EDA软件都预先进行了测试安装,比如cadence,所以比较适合做服务器和工作站,但不适合当个人桌面,因为不购买license,就不能享受到丰富的更新,而且由于内核与库都比较保守,有点跟不上linux的发展速度,以至于很多娱乐软件安装起来非常困难。centos与rhel类似。
fedora,前面已经说了,这个版本每次发行都比较冒进,以至于很多驱动程序都不能很好的配置,但最新的fedora10还是很保守和稳定的。yu软件源基于rpm包管理,安装软件很方便。
ubuntu,基于debian,桌面环境以gnome为主,是目前最流行的linux个人桌面,它的优点是配置起来非常简单,安装完系统之后,只要硬件不是太新,基本不用进行其他配置,硬件都可以识别并安装好驱动。而且其apt更新源服务器中的软件非常丰富,只要打一条命令,就可以自动从网络下载安装所需软件。ubuntu安装方便,甚至于可以使用wubi将linux安装在windows分区。ubuntu还有很多衍生版本,包括Kubuntu(桌面采用KDE,较为华丽),xubuntu(采用xfce,要求配置较低),eubuntu(面向儿童和教育),用户可以根据需求,偏好,和硬件配置进行选择。
suse,被誉为最漂亮的linux发行版本,当然,其本质和其他版本都是一样的,只是在窗口美工上开发者下了一定功夫,而且获得华丽的同时当然也需要付出更高的系统资源占用。其他的linux版本通过一些改造,完全是可以实现suse的效果的。
redflag,中科院开发的linux版本,主要面向政府用户,其个人桌面版免费,这个版本的美工上与windows非常接近,是使用者的入门难度降低,但实际上桌面也是基于KDE的,很平常。
puppy,一个非常小巧的linux版本,安装镜像90多M,却包括了图形桌面,浏览器,办公等常用的软件,系统运行时都存在与内存中,据说安装在U盘中的puppy,在系统启动后,可以将U盘拿掉,系统依然可以运行。
4.我对linux的简单了解,各个发行版本使用的linux内核都是同一个。只不过可能随着各版本的发行时间不同,采用的内核版本会不同。不知道理解的对吗?
linux的内核目前还在飞速的发展,现在常见的是2.X版本,X为奇数,为不稳定版,x为偶数为稳定版,比如rhel采用的2.4和目前最新的,很多个人桌面采用的2.6。不同的linux发行版本采用的内核不尽相同,比如fedora一般都是采用最新的内核。
5.之所以会有这么多问题,是因为我此时的大脑对linux的理解非常混乱,对于操作系统的理解只有正版的windows和盗版的windows的简单理解。暂时先不谈盗版问题,就正版而言,我知道linux部分版本是收费的,大部分可能是免费的,为什么会出现收费与免费两种现象? 作为企业级的服务器应用,免费版本的linux是否可以应付得了,免费的是不是比收费的性能安全上要差好多????具体说说免费和收费的linux,谈谈二者之间的区别。
前面已经提到一些了,至于免费版,如果采用较为保守的成熟的版本,稳定性应该是可以保证的,安全方面,不是很了解,从我单位使用的rhle来看,与普通linux个人桌面并无大的区别。
6.OpenSource与Free:收费的linux版本,是不是就不算开源的操纵系统了呢?收费的linux肯定不会开源,是不是?因为如果开源了,人家都知道你的源代码了,开发商就没办法收费卖他们的发行版本的linux了。不知道理解的对吗?请具体说说"开源与免费"
拿redhat来说,他们既有收费的rhel,也有反编译rhel得到的并且是开源的centos,使用那个完全取决于用户自愿。这样来看,开源与免费的区别仅在于开源的东西,在遵守gnu协议的基础上,任何人都可以得到程序的源代码,并可以自己修改,并可以再发布;而免费的就只能免费使用,而不可修改了。
7.如果可以的话,再介绍一下linux的学习方法,和linux好的入门书籍。在日常工作当中,linux的应用会有很多角色,我主要是想学习LAMP架构下的WEB开发,不知道应该侧重学习linux哪些应用?哪些是LAMP程序员必须熟练掌握的LINUX技术,在求职应聘LAMP程序员的职位,一般面试考核linux方面都是哪些技能?
(不懂)
centos 黑客入侵 怎么办
黑客可以使用任何系统入侵电脑,常用系统有windows、linux内核的各种发行版本,例如ubuntu、centos等。 黑客入侵常见方法: 方法一: 1、发送远程登陆木马病毒,用户触发。 2、黑客登陆电脑。 方法二: 1、利用外网进行PING。 2、使用系统已知漏...
CentOS 6.5 系统
系统环境:CentOS 6.5
问题复现:将当前系统时间设置为前几天的某个时间,然后重启系统。
一、问题分析:
/dev/sda2:Superblock last mount time(Mon Jan 13 04:47:28 2014,now = Fri Jan 10 11:02:20 2014) is in the future.
大概意思是sda分区最后一次挂载时间(Mon Jan 13 04:47:28 2014)是在未来(当前时间是Fri Jan 10 11:02:20 2014),有问题。
另外提示:An error occurred during the file system check.
意思是:在文件系统检查时出现了一个错误。
二、解决办法:
解决办法还得看上面的截图最后几句话。
Give root password for maintenance
(or type Control-D to continue):
这两句话的意思是:
输入root用户密码进入维护,或者按“Ctrl+D”键继续。
如果按“Ctrl+D”键继续,系统还是无法启动的,会回到上面报错的界面,所以只能在“(or type Control-D to continue):”这行后面输入root用户密码,回车,进入维护模式。
进入维护模式后,用fsck命令修复错误信息提示的分区即可。
如果修复一个磁盘分区还不行,可能有多个分区要修复,一个一个修复即可。
我先修复提示错误的分区结果不行,后面直接用fsck /dev/sda 修复整个磁盘了
fsck命令修复完成后,reboot,然后系统就能正常启动了!