CTF比赛培训教程笔记-05Linux系统安全_3
一、网络配置
1、检查网络参数
(1)sysctl -a
(2) 加固方法 vi /etc/sysctl.conf
修改配置文件后,执行 sysctl -p 使更改生效
2、iptables
(1)命令的格式说明: iptables -t 表名 <-A/I/D/R> 规则链名 [规则号] <-i/o 网卡名称>
-p 协议名 <-s 源IP/源子网> –sport 源端口 <-d 目标IP/目标子网> –dport 目标端口 -j 动作
(2)常用参数: -A 向规则链中添加条目
-D 从规则链中删除条目
-i 向规则链中插入条目
-L 显示规则链中已有的条目
-p 指定要匹配的数据包协议类型
-s 指定要匹配的数据包源ip地址
-j<目标> 指定要跳转的目标
-i<网络接口> 指定数据包进入本机的网络接口
-o<网络接口> 指定数据包离开本机的网络接口
(3)规则链名:
INPUT链:处理输入数据包
OUTPUT链:处理输出数据包
FORWARD链:处理转发的数据包
(4)动作:
accept: 接收数据包
drop:丢弃数据包
redirect: 重定向、映射、透明代理
(5)实例:
iptables -A INPUT -i eth0 -s 192.168.10.0/24 -p tcp –dport 22 -j ACCEPT
#释义: 增加一条INPUT规则链,网卡eth0, 允许192.168.10网段的tcp协议访问 本机22端口。
iptalbes –list
#查看目前的iptables规则
二、日志审计
1、日志审计
(1) 编辑、配置 /etc/rsyslog.conf
*.err;kern.debug;daemon.notice /var/adm/messages
(2) 常用的日志文件
boot.log
cron
secure
lastlog (二进制文件,可用lastlog命令查看)
wtmp (二进制文件,可用last命令查看)
三、安全工具
1、常用的分析命令
ps locate/find netstat grep/awk strace strings
2、弱口令审计
(1)john the ripper http://www.openwall.com/john
john 工具可以针对shandow文件进行弱口令审计、口令爆破。常用的使用方法:
#john /etc/shadow –single
#john /etc/shadow –wordlist=pass.dic
(2)Hydra 在线方式进行弱口令爆破
实例:hydra -l login -P /tmp/passlist 192.168.0.1 ftp
-l login : 以用户名login进行登录
-P /tmp/passlist : 以tmp/passlist文件为密码字典
192.168.0.1 目标ip
ftp 服务类型
3、后门程序检测
(1)工具一:chkrootkit http://www.chkrootkit.org
后门程序检测执行: ./chkrootkit -q -r /
(2)工具二:Rootkit Hunter http://rkhunter.sourceforge.net/
命令检测:rkhunter -check