sysconfig/network-scripts/ 网卡和配置文件夹
- 目录下对应网卡文件内可进行具体网卡配置
/etc/hostname 配置主机名
/etc/host 域名
/systemctl restart xxx.services 重启
配置本地yum源
mount 挂载cd到设备的方式
cp -rf /* /
930人加入学习
(23人评价)
该课程属于 高校公益行 | 网络安全实践训练营 请加入后再学习
umount /dev/cdrom 卸载光盘
mkdir /media/cdrom 创建目录
mount /dev/cdrom /media/cdrom/挂载到目录
rpm安装rpm包
cp -rf /modia/cdrom/* ./ 复制光盘
systemctl start vsftp.servce 启动FTP服务
把FTP模式改为被动模式
编辑配置文件
添加以下内容
pasv enable=YES
pasv min_port=3001
pasv max_port=3100
设置SELINU 规则
root@:setsebool allow ftpd full access 1
setsebool httpd enable ftp server 1
setsebool restart vsftpd
本地配YUM源三个斜杠指向本地目录
baseurl=file:///var/ftp/yum
安装并配置DHCP服务器
cd dhcp-4.2.5/
cp dhcpd.conf.example /etc/dhcp/dhcp.conf
覆盖文件
粘贴进去
启动DHCP服务
步骤二安装tftp-server 与syslinux
yum -y install 进行安装
然后启动tftp但tftp不能直接启动 依赖 xinetd.d
所以编辑 vim /etc/xinetd.d/tftp
//找到 “disable=yes”,修改成no
然后启动
systemctl restart xinetd
然后拷贝引导模块
安装KICKSTART自动化安装
日志系统审计、运维注意事项
系统管理人员应该提高警惕,随时注意各种可疑状况,并且按时和随机 地检查各种系统日志文件,包括一般信息日志、网络连接日志、文件传 输日志以及用户登录日志等。在检查这些日志时,要注意是否有不合常 理的时间记载。例如:
用户在非常规的时间登录;
不正常的日志记录,比如日志的残缺不全或者是诸如wtmp这样的日志文件无 故地缺少了中间的记录;
用户登录系统的IP地址和以往的不一样;
用户登录失败的日志记录,尤其是那些一再连续尝试进入失败的日志记录;
非法使用或不正当使用超级用户权限su的指令;
无故或者非法重新启动各项网络服务的记录。
另外,尤其提醒管理人员注意的是,日志并不是完全可靠的。高明的黑 客在入侵系统后,经常会打扫现场。
日志管理策略
及时作好备份和归档
延长日志保存期限
控制日志访问权限
日志中可能会包含各类敏感信息,如账户、口令等
集中管理日志
将服务器的日志文件发到统一的日志文件服务器
便于日志信息的统一收集、整理和分析
杜绝日志信息的意外丢失、恶意篡改或删除
SSH的用途:在通过网络远程访问另一个主机时 提供最大的保护。增加其他非安全协议的安全性。
远程访问:远程主机 shell 访问 ssh root@主机
使用 SFTP 或 SCP 传输文件:
通过 SCP 命令将文件在本地主机与远程服务器之间进行复制:scp root@主机:/etc/pssawd./
结合 SFTP,作为 FTP 文件传输的一个安全替代品:sftp root@主机:/opt/www/
结合 rsync 有效安全地备份、复制和镜像文件到一个本地或远程 主机:rsync -avz --delete root@主机:/opt/www/./
端口转发
远程主机转发x 会话编辑sshd_config 113和115行
sshfs远程挂载安全目录 安装工具 epel源
CentOS7安装
步骤:
创建虚拟机并准备好系统安装镜像文件
进入安装初始化界面
进入图形化安装界面
语言选择
本地化
日期与时间、键盘、语言支持
软件
安装源与软件选择
系统
安装位置与网络主机名、KDUMP、NETWORK与HOSTNAME
用户设置
设置root
需要超级管理员的登录
YUM , Yellowdog Updater Modified
登陆linux系统尽量使用root(超级管理员),
获得最高权限以便操作
配置IP地址
启动协议static
不使用IPV6
配置本地yum源
挂载光盘,先卸载,创建挂载目录,拷贝安装光盘内容
到ftp站点并启动vstpd服务
配置vsftpd安全 被动模式更安全
测试
清理yum缓存 杀死进程kill -9 $(cat /var/run/yum.pid)
centOS7:redhat 企业版衍生版本
1、带gui的服务器
2、性能维护工具
3、兼容性工具
4、开发工具
5、安全工具
6、KDUMP内核崩溃转储机制
账号基本安全
注释掉系统不需要的用户和用户组
不建议直接删除
再用户名前加“#”,便可注释掉
将非登录用户的shell设为/sbin/nologin
锁定一段时间内不使用的账号
账号user00口令字段前加了一个“!
"号,便无法登录
给账号、组账号、账号口令文件加上不可更改属性(加锁),从而防止非授权用户获得权限。
账号口令的安全设置
设置密码的有效期与最短长度限制
要求用户下次登录时修改密码
命令历史限制
减少记录的命令条数
注销时自动清空历史命令记录
终端自动注销
闲置60
=====终端账户切换与提权
==终端自动注销
闲置600秒后自动注销
[root@localhost ~]# vim ~/.bash_profile
//在行尾添加下面的环境变量
export TMOUT=600
==使用su命令切换用户
用途:Substitute User,切换用户
格式:su - 目标用户
密码验证
root → 任意用户, 不验证密码
普通用户 → 其他用户,验证目标用户的密码
[likui@localhost 桌面]$ su - root
密码:
上一次登录:四 10月 22 10:09:09 CST 2015pts/0 上
[root@localhost ~]# whoami
root
==限制使用su命令的用户
启用pam_wheel认证模块,将允许使用su命令的用户加入wheel组
[root@localhost ~]# vim /etc/pam.d/su
//找到下面行,将“#”号删掉
#auth required pam_wheel.so use_uid
[root@localhost ~]# gpasswd -a likui wheel
正在将用户“likui”加入到“wheel”组中
==使用sudo机制提升权限
用途:以其他用户身份(如root)执行授权的命令
用法:sudo 授权命令
初次执行sudo命令时,验证当前用户的密码,不需验证目标用户的密码
[root@localhost ~]# sudo -u likui /bin/touch /tmp/test
[root@localhost ~]# ll /tmp
-rw-r--r--. 1 likui likui 0 10月 22 15:55 test
==使用sudo机制提升权限
配置sudo授权
//visudo 或者 vim /etc/sudoers
记录格式:用户 主机名列表=命令程序列表
[root@localhost ~]# vim /etc/sudoers
root ALL=(ALL) ALL
%wheel ALL=(ALL) ALL
[likui@localhost 桌面]$ sudo ifconfig
==使用sudo机制提升权限
配置sudo授权
例:将likui加入/etc/sudoers,授权
[root@localhost ~]# vim /etc/sudoers
likui localhost=/sbin/*,!/sbin/ifconfig,!/sbin/route
Cmnd_Alias PKGTOOLS=/bin/rpm,/usr/bin/yum
User_Alias LUSERS=likui,ligui,liwei
Host_Alias LHOSTS=localhost,host1,host2
LUSERS LHOSTS=PKGTOOLS
[likui@localhost ~]$ sudo /sbin/ifconfig
对不起,用户 likui 无权以 root 的身份在 localhost 上执行 /sbin/ifconfig。
[likui@localhost ~]$ sudo /sbin/ip addr ⋯ ⋯
[likui@localhost ~]$ sudo -l
简介
- 著名的漏洞评估系统Nessus[人头马],已经由开源走向闭源
- OpenVAS完全开源,集成了大量插件,可免费更新
- http://www.openvas.org/
- 工作组件
- Scan Targets
- OpenVas Scanner
- NVT's(漏洞利用模块)
- OpenVas Manager
- 远程管理组件
- OpenVas CLI(命令行)
- Greenbone Sercurity Assistant(网站)
- Result configs
- 远程管理组件
- X-Scan,Windows下的漏洞评估系统,工作于非C/S模式下的程序,插件已经非常陈旧了
安装-centos7
- 配置IP地址、主机名,关闭SELinux
- vim /etc/sysconfig/network-scripts/ifcfg-eno16777728
BOOTPROTO=static ONBOOT=yes IPADDR=172.16.8.172 NETMASK=255.255.255.0 GATEWAY=172.16.8.2 DNS1=114.114.114.114 DNS2=8.8.8.8 //修改的内容,其它内容省略 - vim /etc/sysconfig/network
HOSTNAME=ovs.sevenwin.org - vim /etc/hosts
172.16.8.172 ovs ovs.sevenwin.org - vim /etc/selinux/config
SELINUX=disabled - reboot
- 安装所必需的包
- yum install wget bzip2 texlive net-tools alien -y
- 安装Atomicorp repo源
- wget -q -O - http://www.atomicorp.com/installers/atomic | sh
- 安装OpenVAS
- yum install openvas -y
- 配置并启动Redis服务
- vim /etc/redis.conf
unixsocket /tmp/redis.sock unixsocketperm 700 //找到这两项,把前面的#号去掉。 - systemctl enable redis && systemctl restart redis
- 运行openvas-setup
- openvas-setup
过程非常漫长,过程中需要一些设置… …
- 配置防火墙规则
- firewall-cmd --permanent --zone=public --add-port=9392/tcp
- firewall-cmd --reload
- 在浏览器上访问 https://127.0.0.1:9392
- OpenVAS安装之后的检测工作
- [root@ovs ~]# wget https://svn.wald.intevation.org/svn/openvas/trunk/tools/openvas-check-setup --no-check-certificate
- [root@ovs ~]# chmod 755 openvas-check-setup
- [root@ovs ~]# ./openvas-check-setup --server
在检查排错过程中,注意FIX给出解决方案… …
安装--Kali
- 安装过程:
- root@kali:~# apt-get update
- root@kali:~# apt-get dist-upgrade
- root@kali:~# apt-get install openvas
- root@kali:~# openvas-setup
- 运行检查程序,检查安装过程,进行排错:
- root@kali:~# openvas-check-setup
- 创建管理员帐号:
- root@kali:~# openvasmd --get-users
admin - root@kali:~# openvasmd --user=admin --new-password=Pa9865321
- root@kali:~# openvasmd --get-users
- 通过浏览器访问 https://127.0.0.1:9392
配置ip地址
cd /etc/sysconfig/network-scripts/
vim 网卡名
将DHCP改为静态
onboot="yes"
IPADDR=
NETMASK=
GATEWAY=
DNS1=
配置主机名
vim /etc/hostname
vim /etc/hosts
配置完成后
systemctl restart network.service
配置本地yum源
软件仓库的提供方式
FTP服务:ftp://...
HTTP服务:http://...
本地目录:file://...
rpm软件包的来源
Red Hat发布的RPM包集合
第三方组织发布的RPM包集合(EPEL源)
用户自定义的RPM包集合
先挂载光盘
umount
简介
- 基于PHP,MySQL,SNMP及RRDTool开发的网络流量监测图形分析工具。
- Cacti通过SNMP(简单网络管理协议)协议来获取数据,使用 RRDtool来描绘图形,而且你完全不需要了解RRDtool复杂的参数。
- 它提供了非常强大的数据和用户管理功能,可以指定每一个用户能查看的树状结构、主机以及任何一张图,还可以与LDAP结合进行用户验证,同时也能自己增加模板,功能非常强大完善。
- 官方网站:http://www.cacti.net/
- Cacti的工作结构
- C/S模式,采集监测数据
- B/S模式,管理监测平台
- B/S模式,管理监测平台
部署Cacti
- 配置IP地址、主机名,关闭SELinux
- vim /etc/sysconfig/network-scripts/ifcfg-eno16777728
BOOTPROTO=static ONBOOT=yes IPADDR=172.16.8.172 NETMASK=255.255.255.0 GATEWAY=172.16.8.2 DNS1=114.114.114.114 DNS2=8.8.8.8- vim /etc/sysconfig/network
HOSTNAME=cti.sevenwin.org - vim /etc/hosts
172.16.8.172 cti cti.sevenwin.org - vim /etc/selinux/config
SELINUX=disabled - reboot
- 基本环境构建
- [root@cti ~]# yum install -y gcc httpd php php-mysql php-snmp mariadbmariadb-devel mariadb-server rrdtool
- [root@cti ~]# yum install -y net-snmp net-snmp-devel net-snmp-utils wget ntp
- 配置并启动NTP服务,支持PHP,保证时间统一并准确
- [root@cti ~]# systemctl enable ntpd.service
- [root@cti ~]# sed -i "s@;date.timezone =@date.timezone =Asia/Chongqing@g" /etc/php.ini
- [root@cti ~]# systemctl start ntpd.service
- 配置MariaDB,并为Cacti创建数据库
- [root@cti ~]# systemctl enable mariadb.service
- [root@cti ~]# systemctl start mariadb.service
- [root@cti ~]# mysqladmin -u root password 9865321
- [root@cti ~]# mysql -u root -p
- MariaDB [(none)]> create database cacti;
- MariaDB [(none)]> create user cactiuser@localhost identified by 'Pa9865321';
- MariaDB [(none)]> grant all on cacti.* to cactiuser@localhost;
- MariaDB [(none)]> flush privileges;
- MariaDB [(none)]> quit
- 安装Cacti
- [root@cti ~]# wget http://www.cacti.net/downloads/cacti-0.8.8h.tar.gz
- [root@cti ~]# tar zxvf cacti-0.8.8h.tar.gz
- [root@cti ~]# mv cacti-0.8.8h /var/www/html/cacti
- [root@cti ~]# cd /var/www/html/cacti/
- [root@cti cacti]# mysql -h localhost -u cactiuser -p cacti<cacti.sql
- Enter password: //上面的步骤导入数据库脚本,初始化Cacti数据库
- [root@cti cacti]# vim ./include/config.php
$database_type = "mysql"; $database_default = "cacti"; $database_hostname = "localhost"; $database_username = "cactiuser"; $database_password = “Pa9865321”; //这里改为建库时的脚本 $database_port = "3306"; $database_ssl = false; - [root@cti cacti]# crontab –e //配置任务计划,每隔1分钟就轮询1次
*/1 * * * * php /var/www/html/cacti/poller.php >/dev/null - [root@cti ~]# systemctl enable httpd.service
- [root@cti ~]# systemctl start httpd.service //启动Apache
- 4、启动SNMP服务
- [root@cti ~]# systemctl enable snmpd.service
- [root@cti ~]# systemctl start snmpd.service
- 5、配置防火墙规则
- [root@cti ~]# firewall-cmd --permanent --zone=public --add-service=http
- [root@cti ~]# firewall-cmd --zone=public --add-service=http
- [root@cti ~]# firewall-cmd --permanent --zone=public --add-port=161/udp
- [root@cti ~]# firewall-cmd --zone=public --add-port=161/udp
- 6、在浏览器中进行安装配置
- 127.0.0.1/cacti/
- 6.1 点击“Next”
- 6.3 由于前面配置得当,这里直接点击“Finish”即完成
- 6.4 第一次登录,默认的用户名与密码都是“admin”
- 6.5 要求修改管理员登录密码
- 6.6 over
- 轮询插件spine安装
- 7.1 下载并编译安装、配置
- [root@cti ~]# wget http://www.cacti.net/downloads/spine/cacti-spine-
0.8.8h.tar.gz - [root@cti ~]# tar zxvf cacti-spine-0.8.8h.tar.gz
- [root@cti ~]# cd cacti-spine-0.8.8h/
- [root@cti cacti-spine-0.8.8h]# ./configure
- [root@cti cacti-spine-0.8.8h]# make && make install
- [root@cti cacti-spine-0.8.8h]# cp -rf /usr/local/spine/etc/spine.conf.dist /etc/spine.conf
- [root@cti cacti-spine-0.8.8h]# ln -s /usr/local/spine/bin/spine /usr/bin/
- [root@cti cacti-spine-0.8.8h]# vim /etc/spine.conf
DB_Host localhost DB_Database cacti DB_User cactiuser DB_Pass Pa9865321 DB_Port 3306
- [root@cti ~]# wget http://www.cacti.net/downloads/spine/cacti-spine-
- 7.2 在浏览器界面上的配置
- 选择“Setting”>“Paths”>找到“Spine Poller File Path”项,设置值“/usr/bin/spine”
- 然后点击“Save”
- 7.3 在浏览器界面上的配置
- 再选择“Setting”>“Poller”>找到“Poller Type”项,选择“spine”
- 然后点击“Save”
- 7.1 下载并编译安装、配置
- 其它常用插件的安装
- 8.1 下载安装
- [root@cti ~]# wget http://docs.cacti.net/_media/plugin:monitor-v1.3-1.tgz
- [root@cti ~]# mv plugin:monitor-v1.3-1.tgz monitor.tgz
- [root@cti ~]# tar zxf monitor.tgz
- [root@cti ~]# mv monitor /var/www/html/cacti/plugins/
- [root@cti ~]# wget http://docs.cacti.net/_media/plugin:clog-v1.7-1.tgz
- [root@cti ~]# mv plugin:clog-v1.7-1.tgz clog.tgz
- [root@cti ~]# tar zxvf clog.tgz
- [root@cti ~]# mv clog /var/www/html/cacti/plugins/
- [root@cti ~]# wget http://docs.cacti.net/_media/plugin:settings-v0.71-1.tgz
- [root@cti ~]# mv plugin:settings-v0.71-1.tgz settings.tgz
- [root@cti ~]# tar zxvf settings.tgz
- [root@cti ~]# mv settings /var/www/html/cacti/plugins/
- [root@cti ~]# wget http://docs.cacti.net/_media/plugin:thold-v0.5.0.tgz
- [root@cti ~]# mv plugin:thold-v0.5.0.tgz thold.tgz
- [root@cti ~]# tar zxvf thold.tgz
- [root@cti ~]# mv thold /var/www/html/cacti/plugins/
- [root@cti ~]# cd /var/www/html/cacti/plugins/monitor/
- [root@cti monitor]# mysql -u cactiuser -p cacti < monitor.sql
- 8.2 在WUI中设置
- 选择“Plugin Management”中安装并激活这些插件
- 8.1 下载安装
配置Cacti客户端
- 9、Linux(centos6)
- ip:172.16.8.101
- 克隆机器修改mac地址:vi /etc/udev/rules.d/70-persistent-net.rules
- 复制自动生成的mac地址,覆盖掉拷贝过来的地址
- 再编辑ip地址即可
- 克隆机器修改mac地址:vi /etc/udev/rules.d/70-persistent-net.rules
- [root@c65 ~]# yum -y install net-snmp
- [root@c65 ~]# vim /etc/snmp/snmpd.conf
com2sec notConfigUser 172.16.8.172 public access notConfigGroup "" any noauth exact all none none view all included .1 80 - [root@c65 ~]# service snmpd start
- [root@c65 ~]# chkconfig snmpd on
- [root@c65 ~]# iptables -I INPUT -p udp --dport 161 -j ACCEPT
- [root@c65 ~]# iptables -I INPUT -p udp --dport 162 -j ACCEPT
- [root@c65 ~]# service iptables save
- 现在即可在服务端添加主机
- ip:172.16.8.101
- 10、Windows(Server 2012)
- 设置固定的IP地址:172.16.8.102
- 添加角色和功能:snmp
- 服务配置
- snmp service
- 安全-添加:团体权限(只读),社区名称(public)
- 添加服务器:172.16.8.172
- snmp service
- 现在即可在服务端添加主机
关于CactiEZ
- Cacti发行版 CactiEZ
- CactiEZ 是一个基于 CentOS 的 Linux 发行版,主要的目的是为了简化 Cacti 监控系统的安装和配置,装好了就可直接使用Cacti。
- 官网
- http://cactiez.cactiusers.org/
- 中文版Cacti下载地址
- https://sourceforge.net/projects/cnyunwei/files/V11/
- 系统账号
- user:root
- pass:www.nyunwei.com
- 登录账号
- user:admin
- pass:www.nyunwei.com
- 系统账号
安装EPEL源
软件仓库
使用yum update更新系统时不升级内核,忽略KERNEl相关包
关闭自动更新
update_messages = no
download_updates = no
SSH安全性和配置最佳实践
将root账户仅限制为控制台访问:
配置TCP Wrappers,对远程主机进行访问控制:
在工作站或者笔记本电脑上,关闭SSH服务并卸载SSH服务器包:
通过控制用户账号,限制其对SSH的访问:
仅使用SSH Protocol2:
不支持闲置会话,并配置Idle Logout Timeout间隔:
禁用空密码,设置密码重试次数:
禁用基于主机的身份验证:
禁用用户的.rhosts文件:
限制SSH,将侦听绑定到可用的网络接口与端口:
始终保持SSH补丁版本最新:
1. 安装依赖
yum install wget bzip2 texlive net-tools alien redis -y
2. 安装Atomicorp源
wget -q -O - http://www.atomicorp.com/installers/atomic | sh
3. 配置启动Redis
vim /etc/redis.conf unixsocket /tmp/redis.sock unixsocketperm 700 //找到这两项,把前面的#号去掉
systemctl enable redis && systemctl restart redis
reboot
4. 安装 OPenVAS
yum install openvas -y
openvas-setup
5. 排错
openvas-check-setup
配置SSH身份认证
登录验证对象:
服务器中本地用户账号
登录验证方式
密码验证:核对用户名、密码是否匹配
密钥对验证:核对客户的私钥、客户端公钥是否匹配
构建密钥对验证的SSH体系:
第一步:创建密钥对(在客户端)
私密文件:id_rsa
公钥文件:id_rsa.pub
第二步:
上传公钥文件id-rsa.pub
第三步:导入公钥信息
公钥库文件: ~/.ssh//authorized_keys
第四
