Thinking in Linux…

今天下午，一朋友找上我需要帮忙，说他服务器里面有大量的ssh-scan进程,登录服务器一看，确实被黑了，被人植入了非法程序：
ps axjf

全文阅读 »

通过SSH Tunnel提升服务器安全性

作者: xuki(www.vvvk.net)| 可以转载, 转载时务必以超链接形式标明文章原始出处和作者信息及版权声明
网址:http://www.vvvk.net/archives/308

在服务器安全中，有一项要点就是以最少的端口提供最大的访问度，这话怎么解释呢？就是通过防火墙关闭非必须的对外端口，而需要对外提供的端口则通过SSH Tunnel来实现,下面我就举例来说明如何实现这一功能：
数据库服务器仅开启了ssh端口，但希望实现对授权用户访问Oracle 1521端口,VNC 5901端口，oem 1158端口等
ok,看图说话，我这里使用的软件仍旧是SSH SecureShellClient,编辑数据库服务器的profile=>Tunneing

依照此添加vnc和oem访问端口，结果如下： 全文阅读 »

SELinux设置分析工具 1．文件的安全上下文与文件操作

shell命令中对文件的操作命令存在如何处理文件的安全上下文的问题，一般通过选项“-Z”可对文件安全上下文进行特殊处理。如：ls -Z可以显示文件的安全上下文，ps -Z可以查看进程的安全上下文，cp -Z可以给拷贝的文件指定安全上下文等。

默认下，mv操作保持安全上下文不变，创建和拷贝的文件继承父目录的安全上下文。默认操作下，操作后的文件可以因文件安全上下文的变化造成无法运行，此时，还可以通过选项“-Z”指定文件的安全上下文。

在targeted策略下，进程的域类型数量较少，内核线程的安全上下文一般为system_u:system_ r:kernel_t，用户进程一般为user_u:system_r:unconfined_t，后台进程一般有特殊的安全上下文。从这里可以看 出，targeted策略对后台进程进行严格的权限限制，而对用户进程进行一般的限制。使用命令ps -AZ可以看到进程的安全上下文，列出如下：

^-^$ ps -AZ
LABEL                             PID TTY     TIME CMD
system_u:system_r:init_t            1 ?    00:00:00 init
system_u:system_r:kernel_t          2 ?   00:00:00 migration/0
system_u:system_r:kernel_t          3 ?     00:00:00 ksoftirqd/0
......
system_u:system_r:kernel_t        426 ?   00:00:00 kjournald
system_u:system_r:kernel_t        452 ?    00:00:00 kauditd
system_u:system_r:udev_t:SystemLow-SystemHigh 478 ? 00:00:00 udevd
system_u:system_r:kernel_t        829 ?        00:00:00 kedac
system_u:system_r:kernel_t       1503 ?        00:00:00 kmpathd/0
system_u:system_r:kernel_t       1527 ?        00:00:00 kjournald
......
system_u:system_r:initrc_t       2161 ?         00:00:00 pcscd
system_u:system_r:bluetooth_t    2179 ?        00:00:00 hidd
......
system_u:system_r:getty_t        3030 tty6     00:00:00 mingetty
system_u:system_r:init_t         3031 ?         00:00:00 prefdm
system_u:system_r:xdm_t:SystemLow-SystemHigh 3036 ? 00:00:00 gdm-binary
......
root:system_r:unconfined_t:SystemLow-SystemHigh 3391 ? 00:00:00 notification-da
system_u:system_r:cupsd_t:SystemLow-SystemHigh 3979 ? 00:00:00 cupsd
system_u:system_r:telnetd_t     10476 ?        00:00:00 in.telnetd
system_u:system_r:remote_login_t 10477 ?       00:00:00 login
user_u:system_r:unconfined_t    10480 pts/1    00:00:00 bash
user_u:system_r:unconfined_t    10690 pts/1    00:00:00 su
user_u:system_r:unconfined_t    10692 pts/1    00:00:00 bash
system_u:system_r:kernel_t      10792 ?        00:00:00 kjournald
......
system_u:system_r:remote_login_t 10834 ?       00:00:00 login
user_u:system_r:unconfined_t    10835 pts/2     00:00:00 bash
......
user_u:system_r:unconfined_t    30329 pts/6    00:00:00 bash
user_u:system_r:unconfined_t    30916 pts/1    00:00:00 ps

全文阅读 »

一．前言

Security Enhanced Linux（以下简称为SELinux）是RedHat Enterprise Linux 4（以下简称为RHEL4）上新的安全机制，在以往的RHEL系统中从未使用，这使得很多资深的系统管理员已开始使用RHEL4时弄得一头雾水，出现了很 多莫名其妙的错误，随后寻找帮助才发现原来是SELinux弄的。由于SELinux有着严格的安全控制和管理权使得系统管理员一时不知如何设定，索性就 关闭了，很是可惜。究其原因，是当一个事物出现时，如果他给你带来了麻烦，增加了工作量，便对其产生了厌恶感，这是人之常情。本文暂不探讨SELinux 复杂的内部运作机制，只是先让读者对SELinux有个初步的认识和了解，希望能在您的心里对SELinux留下一个好的印象，并认识到尽管一开始时有些 麻烦，但当你熟悉了它以后，系统的管理会变得更轻松。

二．认识DAC与MAC

在介绍SELinux之前，读者需要了解两个基本的系统访问控制机制：

☆ DAC（Discretionary access control，自主访问控制）：DAC机制就是指对象（比如程序、文件或进程等）的的拥有者可以任意的修改或授予此对象相应的权限。例如传统Linux，Windows等。

☆ MAC（Mandatory Access Control，强制访问控制）：MAC机制是指系统不再允许对象（比如程序、文件或文件夹等）的拥有者随意修改或授予此对象相应的权限，而是透过强制的方式为每个对象统一授予权限，例如SELinux。

图1 DAC与MAC的不同（引自 Security Features in Red Hat Enterprise Linux 4）

  全文阅读 »

　　前段时间上海一家游戏娱乐公司的网站遭到了基于页面请求的DDOS分布式拒绝服务攻击，网站陷入完全瘫痪状态，并被黑客的匿名信勒索，金额高达10万元，而在勒索过程中，这群黑客还表示会对腾讯QQ等网站下手，随后QQ“服务器维护”几天。12月5号的时候，全球BitTorrent服务器也受到了很强烈的DDOS攻击，一度陷入瘫痪。而DDOS攻击中最流行的也是威力最大的就是基于页面的DDOS以及将这个攻击理论发挥得淋漓尽致的攻击工具CC，本文特邀CC作者和我们共同了解CC的相关攻击原理和防范方法，希望能让更多的朋友了解这样的攻击方式并能防范它。

全文阅读 »