VPN、iptables、rootkit等
Jun
23
使用p2p软件下载的客户端会建立了很多的tcp连接,导致网关负载太重,上网速度很慢。而iptables的connlimit模块,可以限制用户的tcp连接数,以下是给iptables加载模块的步骤和过程。
一、系统平台
系统自带的iptalbes版本为1.2.1,版本太低,加载connlimit补丁很麻烦。为保持较好的兼容性,我决定使用Asianux 3.0上的1.3.5版本。
一、系统平台
引用
操作系统:红旗 DC Server 5.0 for x86_64 sp2
iptables版本:1.3.5
iptables版本:1.3.5
系统自带的iptalbes版本为1.2.1,版本太低,加载connlimit补丁很麻烦。为保持较好的兼容性,我决定使用Asianux 3.0上的1.3.5版本。
Jun
4
前面两篇日志都是为了做使用IMQ设备的准备。因为IMQ模块并没有包括在标准核心中,所以,需要我们另行编译。而这今天的日志中,我用一个几乎是最简单的例子,来说明如何使用IMQ设备模块。其中使用到tc的相关知识,如果您还不知道该怎么做,请先回头看看前几天的日志,否则会有点不知所云的。
Dec
5
OpenSSL是使用非常广泛的 SSL 的开源实现。由于其中实现了为SSL 所用的各种加密算法,因此OpenSSL也是被广泛使用的加密函数库。SSL/TLS 协议位于 TCP 协议和应用层协议之间,为传输双方提供认证、加密和完整性保护等安全服务。SSL作为一个协议框架,通信双方可以选用合适的对称算法、公钥算法、MAC 算法等密码算法实现安全服务。在Linux环境中,除可以使用OpenSSL提供的各种加密函数库外,还能利用其应用程序实现许多重要的功能。以下内容翻译自:OpenSSL Command-Line HOWTO
Jul
1
在针对常规的入侵检测工作中,除了应用如之前提到的Tripwire和rpm等工具外,另一个常用的工具就是chkrootkit。它的使用非常简单,但却很重要。
一、原理
chkrootkit是用来监测 rootkit 是否被安装到当前系统中的工具。
所谓 rootkit ,是一类入侵者经常使用的工具。这类工具通常非常的隐秘、令用户不易察觉,通过这类工具,入侵者建立了一条能够常时入侵系统,或者说对系统进行实时控制的途径。所以,我们要用 chkrootkit 来定时监测系统,以保证系统的安全。
像Tripwire一样,chkrootkit也是“事后诸葛亮”,其只能针对系统可能的漏洞以及已经被入侵的部分进行分析。它并没有防止入侵的功能。
一、原理
chkrootkit是用来监测 rootkit 是否被安装到当前系统中的工具。
所谓 rootkit ,是一类入侵者经常使用的工具。这类工具通常非常的隐秘、令用户不易察觉,通过这类工具,入侵者建立了一条能够常时入侵系统,或者说对系统进行实时控制的途径。所以,我们要用 chkrootkit 来定时监测系统,以保证系统的安全。
像Tripwire一样,chkrootkit也是“事后诸葛亮”,其只能针对系统可能的漏洞以及已经被入侵的部分进行分析。它并没有防止入侵的功能。
Jun
15
以前的日志中也曾经提到,由于Linux服务器执行同样的配置,可使用不同的配置及启动方式,所以,我们应该尽可能按照标准的配置模式进行。但万一服务器给入侵,黑客并不会考虑您运行的配置模式,并会通过修改系统的核心执行文件,如:ls、ps、top等方式尽可能的去隐含自己的行踪。此时,若未能及时发现问题,我们将会处在很被动的位置。而解决该问题的其中一个方法,就是利用一些工具,定时对系统的核心文件进行跟踪,在发现文件被修改后,及时采取对应的措施。Tripwire是其中一款常见的完整性检查工具,同时也是红旗上自带的工具之一。
一、原理
Tripwire可以对要求校验的系统文件进行类似md5的运行,而生成一个唯一的标识,即“快照”snapshot。当这些系统文件的大小、inode号、权限、时间等任意属性被修改后,再次运行Tripwire,其会进行前后属性的对比,并生成相关的详细报告。
一、原理
Tripwire可以对要求校验的系统文件进行类似md5的运行,而生成一个唯一的标识,即“快照”snapshot。当这些系统文件的大小、inode号、权限、时间等任意属性被修改后,再次运行Tripwire,其会进行前后属性的对比,并生成相关的详细报告。
Jan
25
昨天有用户报障:他们使用红旗DC Server 5.0产品做应用服务器的机器中了病毒。虽说Linux下的病毒不多,但很久以前我也曾经在一台服务器上遇到过。(中毒原因是病毒强制攻破了root用户的密码,密码太简单了)这次听用户的描述,似乎现象不太一样,所以决定到现场看看。
到现场后,发现情况是这样的:
到现场后,发现情况是这样的:
引用
1、用户为了方便修改应用系统的网页,用Samba把/opt和/data目录都作为root用户共享给Windows,由于Samba还也会把用户的主目录给共享,所以/root目录也可以由Windows访问和读写;
2、病毒是由已经感染病毒的客户机通过Samba写到上述目录的,另外也在所有html后缀的文件中加入了访问指定病毒网站的代码串,这时候,用户的应用系统就成了网络传播的其中一个途径;
3、经过对系统的分析,病毒只在上述目录和子目录中生成了Desktop_.ini文件,其他目录没有,可以判断该病毒不能感染Linux系统,不是真正的Linux病毒;
4、后来经过趋势的分析,病毒是现在流行的“熊猫烧香”变种;
5、在这里,Linux作为文件共享服务器,其中存放有Windows的病毒,可能作为病毒传播源,但为Linux系统本身,由于二进制代码不同,是无法干扰Linux运行的。
2、病毒是由已经感染病毒的客户机通过Samba写到上述目录的,另外也在所有html后缀的文件中加入了访问指定病毒网站的代码串,这时候,用户的应用系统就成了网络传播的其中一个途径;
3、经过对系统的分析,病毒只在上述目录和子目录中生成了Desktop_.ini文件,其他目录没有,可以判断该病毒不能感染Linux系统,不是真正的Linux病毒;
4、后来经过趋势的分析,病毒是现在流行的“熊猫烧香”变种;
5、在这里,Linux作为文件共享服务器,其中存放有Windows的病毒,可能作为病毒传播源,但为Linux系统本身,由于二进制代码不同,是无法干扰Linux运行的。
Aug
28
前面已经比较详细的说明了OpenVPN的使用和配置,但在实际使用中,可能还会遇到很多网络上的问题,今天就再举几个例子说明一下。
一、案例1
针对不同的客户端指定不同的等级和权限。通常的方法是:
1、每个客户端分配不同的IP地址;
2、利用防火墙对不同的IP地址进行控制;
例如:
一、案例1
针对不同的客户端指定不同的等级和权限。通常的方法是:
1、每个客户端分配不同的IP地址;
2、利用防火墙对不同的IP地址进行控制;
例如:
引用
1、公司内部网段是10.66.4.0/24;
2、所有人允许访问Email服务器为10.66.4.4,但不能访问其他服务器;
3、特定的客户组允许访问Samba服务器为10.66.4.12,不能访问其他服务器;
4、管理员能访问所有公司内网服务器。
2、所有人允许访问Email服务器为10.66.4.4,但不能访问其他服务器;
3、特定的客户组允许访问Samba服务器为10.66.4.12,不能访问其他服务器;
4、管理员能访问所有公司内网服务器。
Aug
14
前面讲了OpenVPN的搭建和连接,使用的服务端和客户端都是Linux平台。但也可以基于在Windows平台上。今天先说用客户端,比较简单。
一、安装
客户端:点击
二、配置
OpenVPN for win32安装后,会自动安装成系统服务,并安装一个虚拟网卡:
配置文件:C:\Program Files\OpenVPN\config
日志文件:C:\Program Files\OpenVPN\log
Windows版的OpenVPN使用的配置文件后缀为.ovpn,类似Linux下的.conf。
一、安装
客户端:点击
二、配置
OpenVPN for win32安装后,会自动安装成系统服务,并安装一个虚拟网卡:
配置文件:C:\Program Files\OpenVPN\config
日志文件:C:\Program Files\OpenVPN\log
Windows版的OpenVPN使用的配置文件后缀为.ovpn,类似Linux下的.conf。
