加固常见服务的安全

针对于常见的web服务的加固方案

对三大常见WEB服务提出加固方案:

  1. Nginx安全优化包括:删除不要的模块、修改版本信息、限制并发、拒绝非法请求、防止buffer溢出。
  2. MySQL安全优化包括:初始化安全脚本、密码安全、备份与还原、数据安全。
  3. Tomcat安全优化包括:隐藏版本信息、降权启动、删除默认测试页面.

步骤一:优化Nginx服务的安全配置

Nignx是模块化设计的软件,需要什么功能与模块以及不需要哪些模块,都可以在编译安装软件时自定义,使用–with参数可以开启某些模块,使用–without可以禁用某些模块。最小化安装永远都是对的方案!

tar -xf nginx-1.xx.tar.gz
cd nginx
 ./configure --help|grep  "\--with-"              #以--with开头的模块默认是不安装的,需要手动添加
    --with-select_module               enable select module
    --with-poll_module                 enable poll module
      。。。。。。。
./configure --help|grep  "\--without"           #以--whithout开头的禁用模块,模块越少越安全
      --without-select_module            disable select module
      --without-poll_module              disable poll module
      。。。。。。。
# 例子禁用不需要的模块,提高安全性
./configure --without-http_autoindex_module --without-http_ssi_module
#禁止不需要的模块,autoindex列出目录下的,ssi过滤器、简单的缓存模块企业很少用

步骤二:修改版本信息,并隐藏具体的版本号

默认Nginx会显示版本信息以及具体的版本号,这些信息给攻击者带来了便利性,便于他们找到具体版本的漏洞。通过如下方法可以修改版本信息。

常规的修改方式:(不是很彻底)

vim /usr/local/nginx/conf/nginx.conf
http {
         server_tokens off;
}
curl -I http://192.168.4.5      #依然存在Server:nginx(让nginx都不显示)

修改源代码实现:(彻底的修改)

#首先保证vim这条命令必须在nginx-x.xx源码包目录下执行!
[root@proxy nginx-1.12.2]# vim +48 src/http/ngx_http_header_filter_module.c         #+48直接到48行
#直接对Nginx的源码进行修改以下的三行内容

#在源码包中修改好了源码,重修源码编译
./configure&&make -j 4&&make install

步骤三:限制并发量

DDOS攻击者会发送大量的并发连接,占用服务器资源(包括连接数、带宽等),这样会导致正常用户处于等待或无法访问服务器的状态。
Nginx提供了一个ngx_http_limit_req_module模块,可以有效降低DDOS攻击的风险。

vim /usr/local/nginx/conf/nginx.conf
    http{
            limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;  #每一次访问用内存记录
        server {
                    listen 80;
                    server_name localhost;
                    limit_req zone=one burst=5; #同一个人最大打开连接数为5个,超过了其他的直接拒绝
                    }
    }
    nginx -s reload     #重载配置文件
备注说明 limit_req_zone语法格式如下
1 limit_req_zone key zone=name:size rate=rate;
2 以上实验中是将客户端IP信息存储名称为one的共享内存,内存空间为10M
3 1M可以存储8千个IP信息,10M可以存储8万个主机连接的状态,容量可以根据需要任意调整
4 每秒中仅接受1个请求,多余的放入漏斗
5 漏斗超过5个则报错

客户端使用ab测试软件测试效果:

ab -c 100 -n 100  http://测试的IP/
以下图片显示了100次访问失败94次!

步骤四:拒绝非法的请求:

网站使用的是HTTP协议,该协议中定义了很多方法,可以让用户连接服务器,获得需要的资源。但实际应用中一般仅需要get和post。

vim /usr/local/nginx/conf/nginx.conf
    http{
           server {
         listen 80;
                  if (request_method !~ ^(GET|POST) ) {
                         return 444;
                   }    
            }
    }
 /usr/local/nginx/sbin/nginx -s reload

请求方式的对比

[roo@client ~]# curl -i -X GET  http://192.168.4.5      #正常
[roo@client ~]# curl -i -X HEAD http://192.168.4.5      #报错

防止buffer溢出

当客户端连接服务器时,服务器会启用各种缓存,用来存放连接的状态信息。
如果攻击者发送大量的连接请求,而服务器不对缓存做限制的话,内存数据就有可能溢出(空间不足)。
修改Nginx配置文件,调整各种buffer参数,可以有效降低溢出风险。

vim /usr/local/nginx/conf/nginx.conf
    http{
    client_body_buffer_size  1K;
    client_header_buffer_size 1k;
    client_max_body_size 1k;
    large_client_header_buffers 2 1k;
     … …
    }
 /usr/local/nginx/sbin/nginx -s reload

数据库安全

初始化安全脚本

安装完MariaDB或MySQL后,默认root没有密码,并且提供了一个任何人都可以操作的test测试数据库。有一个名称为mysql_secure_installation的脚本,该脚本可以帮助我们为root设置密码,并禁止root从远程其他主机登陆数据库,并删除测试性数据库test。

systemctl status mariadb            #确保服务已启动 
mysql_secure_installation           #执行初始化安全脚本

密码安全

修改密码成功,而且密码在数据库中是加密的,有什么问题吗?问题是你的密码被明文记录了,下面来看看名为密码:

mysqladmin -uroot -predhat password 'mysql'         #修改密码
MariaDB [(none)]>set password for root@'localhost'=password('redhat')       #数据库中修改密码
MariaDB [(none)]> select user,host,password from mysql.user;        #查询修改好的密码
 cat .bash_history
     mysqladmin -uroot -pxxx password 'redhat'
     #通过命令行修改的密码,bash会自动记录历史,历史记录中记录了明文密码
cat .mysql_history 
    set password for root@'localhost'=password('redhat');
    select user,host,password from mysql.user;
    flush privileges;
    #通过mysql命令修改的密码,mysql也会有所有操作指令的记录,这里也记录了明文密码
  • 存在的问题

除了以上的问题以外还有:另外数据库还有一个binlog日志里也有明文密码(5.6版本后修复了)。

  • 怎么解决?

管理好自己的历史,不使用明文登录,选择合适的版本5.6以后的版本,
日志,行为审计(找到行为人),使用防火墙从TCP层设置ACL(禁止外网接触数据库)。
3)数据备份与还原首先,备份数据库(注意用户名为root,密码为redhat):

mysqldump -uroot -predhat mydb table > table.sql        #备份数据库中的某个数据表
mysqldump -uroot -predhat mydb > mydb.sql               #备份某个数据库
mysqldump -uroot -predhat --all-databases > all.sql     #备份所有数据库

还原数据库

mysql -uroot -predhat mydb  < table.sql         #还原数据表
mysql -uroot -predhat mydb  < mydb.sql          #还原数据库
mysql -uroot -predhat < all.sql                         #还原所有数据库

使用tcpdump抓包

tcpdump -w log -i eth0 src or dst port 3306     #抓取源或目标端口是3306的数据包,保存到log文件中

客户端从远程登陆数据库服务器

[roo@client ~]# mysql -utom -p123 -h 192.168.4.5        #在192.168.4.100这台主机使用mysql命令登陆远程数据库服务器(192.168.4.5)
MariaDB [(none)]> select * from mysql.user;         #登陆数据库后,任意执行一条查询语句

回到服务器查看抓取的数据包

tcpdump -A -r log
#使用tcpdump查看之前抓取的数据包,很多数据库的数据都明文显示出来

如何解决?

可以使用SSH远程连接服务器后,再从本地登陆数据库(避免在网络中传输数据,因为网络环境中不知道有没有抓包者)。
或者也可以使用SSL对MySQL服务器进行加密,类似与HTTP+SSL一样,MySQL也支持SSL加密(确保网络中传输的数据是被加密的)。

Tomcat安全性

  1. 隐藏版本信息、修改tomcat主配置文件(隐藏版本信息)
    [roo@web1 ~]# curl -I http://192.168.2.100:8080/xx
    #访问不存在的页面文件,查看头部信息
    [roo@web1 ~]# curl -I http://192.168.2.100:8080
    #访问不存在的页面文件,查看头部信息
    [roo@web1 ~]# curl http://192.168.2.100:8080/xx
    #访问不存在的页面文件,查看错误信息
    
  2. 修改tomcat配置文件,修改版本信息
    [roo@web1 tomcat]# yum -y install java-1.8.0-openjdk-devel
    [roo@web1 tomcat]# cd /usr/local/tomcat/lib/
    [roo@web1 lib]# jar -xf catalina.jar
    [roo@web1 lib]# vim org/apache/catalina/util/ServerInfo.properties 
    #根据自己的需要,修改版本信息的内容
    [roo@web1 lib]# /usr/local/tomcat/bin/shutdown.sh       #关闭服务
    [roo@web1 lib]# /usr/local/tomcat/bin/startup.sh        #启动服务
    
  3. 修改后再次查看版本信息
    [roo@web1 ~]# curl -I http://192.168.2.100:8080/xx        
    #访问不存在的页面文件,查看头部信息
    [roo@web1 ~]# curl -I http://192.168.2.100:8080    
    #访问不存在的页面文件,查看头部信息
    [roo@web1 ~]# curl http://192.168.2.100:8080/xx
    #访问不存在的页面文件,查看错误信息
    
  4. 再次修改tomcat服务器配置文件,修改版本信息,手动添加server参数:
    [roo@web1 lib]# vim /usr/local/tomcat/conf/server.xml
        <Connector port="8080" protocol="HTTP/1.1"
        connectionTimeout="20000"  redirectPort="8443" server="jacob" />
    [roo@web1 lib]# /usr/local/tomcat/bin/shutdown.sh       #关闭服务
    [roo@web1 lib]# /usr/local/tomcat/bin/startup.sh            #启动服务
    
  5. 修改后再次查看版本信息
    [roo@web1 ~]# curl -I http://192.168.2.100:8080/xx        
    //访问不存在的页面文件,查看头部信息
    [roo@web1 ~]# curl -I http://192.168.2.100:8080    
    //访问不存在的页面文件,查看头部信息
    [roo@web1 ~]# curl http://192.168.2.100:8080/xx
    //访问不存在的页面文件,查看错误信息
    
  6. 降级启动

默认tomcat使用系统高级管理员账户root启动服务,启动服务尽量使用普通用户。

[roo@web1 ~]# useradd tomcat
[roo@web1 ~]# chown -R tomcat:tomcat /usr/local/tomcat/
#修改tomcat目录的权限,让tomcat账户对该目录有操作权限
[roo@web1 ~]# su -c /usr/local/tomcat/bin/startup.sh tomcat
#使用su命令切换为tomcat账户,以tomcat账户的身份启动tomcat服务
[roo@svr7 ~]# chmod +x /etc/rc.local          #该文件为开机启动文件
[roo@svr7 ~]# vim /etc/rc.local                 #修改文件,添加如下内容
su -c /usr/local/tomcat/bin/startup.sh tomcat

删除默认的测试页面

rm -rf  /usr/local/tomcat/webapps/*

发表评论