服务器 Gind.cn
  1. 服务器 Gind.cn
  3. inheritance现有的服务器
Intereting Posts
CentOS:有时用333%的CPU运行MySQLd。 CPU高负载 SQL Reporting Services 2016 – 未列出“Content Manager”预定义angular色 木偶 – 如何安装不在默认包中的git 1.8.x 迁移到数据中心 testing何时使用rsync同步目录 硬件RAID与SSD是否需要文件系统alignment? 使用FreeBSD在IPv4 WAN上隧道化IPv6 VMWare:长时间运行的快照真的很糟糕吗? Php pdo_dblib – 无法find/无法加载freetds 无法在GCP中创build新项目。 云服务由pipe理员禁用。 请联系pipe理员以恢复服务 VMWare – Windows XP访客许可 在预算紧张的情况下,devise分段式的局域网,并提供相当的高速互联网接入 如何停止/禁用Nagios电子邮件通知 如何知道哪些端口是在Ubuntu的Ubuntu上打开的 发送电子邮件给一对用户,而不pipe哪一个被解决?

inheritance现有的服务器

我刚刚从前面的服务器家伙inheritance了6个Web服务器谁被解雇,我不是一个系统pipe理员我更多的DevOps。

任何人都可以指向我inheritance现有服务器时会遵循的某种标准清单吗? 我需要知道的是:

  1. 服务器上有什么软件
  2. 我应该做什么标准的事情来检查他们是否安全?
  3. 连接到他们的是什么,他们又连接了什么?
  4. 还有什么我应该知道的?

任何build议是受欢迎的,我希望有一个标准的清单,可以作为一个开始,但我什么都找不到。

所有的服务器都是Ubuntu(各种版本)

  1. 要确定安装了哪些软件,可以查看/var/log/dpkg.log但是,这可能不是完整的logging。 可能有手动编译的二进制文件和代码,或直接复制到系统预编译的代码。 您可以将相同Ubuntu版本和types的默认安装与服务器进行比较,然后查找哪些文件是不同的,但这可能很安静。 文件监视器解决scheme将是理想的(tripewire,inotifywatch等) http://linuxcommando.blogspot.com/2008/08/how-to-show-apt-log-history.html

  2. 你需要在服务器上检查一切 。 在/ etc / passwd中的每个用户帐户,每个应用程序用户帐户(如Apache / PHP中的用户,数据库帐户等)都应该被考虑,并且应该更改所有的密码。 您应该检查在启动时启动了哪些服务,默认的运行级别是什么,以及与其他运行级别一起启动的。 我将使用漏洞扫描程序和基准configuration工具来审计当前状态。 互联网安全中心提供免费的configuration评估工具,但可能会受到限制。 他们有更先进的成员组织($)工具。 http://benchmarks.cisecurity.org/ OpenVAS是一个FOSS扫描器,与Nessus不同,它可能具有类似的function。 还有很多更多的事情需要检查,但是这个答案已经有点长了…(代码审查是一个很好的例子。

  3. 您可以看到使用netstat的各种标志查看可用于连接到服务器的端口状态。 http://www.thegeekstuff.com/2010/03/netstat-command-examples/要确定已经连接到服务器,您将不得不诉诸互联网安全活动最性感,审查系统日志。 根据系统上的应用程序和服务器,信息可以是多个日志中的任何一个。 如果外部networking日志存在,您也可能有一些运气。

  4. 你有很多跟进的事情。 您表示以前的pipe理员已被解雇 如果你怀疑这个人是恶意的(即他们可能已经离开了后门,boobie陷阱,逻辑炸弹等等),你几乎肯定会更好地从干净的媒体重build服务器,并重新实现web应用程序。 如果这个以前的pipe理员对这些系统有完全的访问权限和控制权,并且没有经过勤勉的审计和监视,那么你应该可以假定有后门。

这是基于对前一个pipe理员的悲观假设。 不幸的是,这是Cookie崩溃的操作networking安全的方式。 还有很多需要考虑的事情,正如我所说的,比这里可以覆盖的方式还要多。 这些要点给你一些启动的事情,你可以向pipe理层报告你正在取得一些进展。 但是要说实话,如果你不是一个安全专业人员,而且你有理由怀疑这个人的行为是恶意的,那你可能就是头脑发热了。

这是pipe理层的一个不受欢迎的回答,因为它需要付出很多的努力(这意味着更多的),但是总的来说,安全意识的答案是在有疑问的时候,从干净的来源中抹去和重build 。 这就是最重要的政府系统如何处理恶意软件。 如果AV发出警报,系统将被隔离,擦除和重build。 希望你做了一个备份因为数据是去的。

祝你好运,我希望这是有益的,而不是令人沮丧。

手册页是你的朋友: 

  man <command>

查看这些常用命令及其用法。 在手册页中find更多帮助,或者在某些情况下通过运行 

  <command> --help

软件:

  • dpkg -l(列表安装软件)
  • ps -ef | more(获取正在运行的进程列表并暂停阅读)

安全:

  • iptables(哪些端口是开放的,是否有必要)
  • 用apt-get检查更新(服务器是最新的?)
  • cat / etc / passwd(在帐户上有一个帐户)
  • sshd(检查sshd是否正在运行,谁可以login)

连接:

  • netstat(哪些服务正在监听和在哪个端口上)

祝你好运。 inheritance一批服务器是很困难的,没有运行它们的人有机会培训你。 如果这个人被解雇了,那就更加令人担忧了,因为我认为这是有原因的,如果我还假设这是与工作相关的话,那么这批人可能会有一些奇怪的设置。

  1. 哪些应用程序正在运行:执行“ps -ef”或“ps -auxw”来获取进程列表。 剔除与内核无关的所有内容,查找正在运行的内容,在每个内容上查找手册页,以了解其内容。 大多数正在运行的进程可以安全地忽略,因为它们不是用户应用程序

  2. 为了安全:做一个“netstat -pan”来查看哪个端口是打开的,并closures任何不必要的。 换句话说,唯一应该开放的端口就是与这些服务器提供的networking服务相对应的端口。 如果服务器是一个Web服务器,那么显然它需要监听端口80/443 / etc。 但是,如果服务器在端口21上侦听,并且没有人正在使用它,那么应该closures打开该端口的进程。

  3. 对于连接,再次“netstat -pan”给你答案。 它会告诉您哪些主机已连接,以及连接了哪些端口。

  4. 查看/ var / log中的日志来了解他们的系统在做什么,并查看是否有明显的错误或来自不同应用程序的红旗。