|
MYSQL方面:
修改配置文件:
調整最大連接數:max_connections=500
打開慢查詢:log-slow-queries=slowquery.log
long_query_time=1
調大最大錯誤連接數:max_connect_errors=500
APACHE方面:
啟用mod_evasive模塊,防止DDOS攻擊,該模塊需要網上去下載。配置文件如下:
LoadModule evasive20_module modules/mod_evasive20.so
<IfModule mod_evasive20.c>
#記錄和存放黑名單的哈西表大小,如果服務器訪問量很大,可以加大該值
DOSHashTableSize 3097
#同一個頁面在同一時間內可以被同一個用戶訪問的次數,超過該數字就會被列為攻擊,
#同一時間的數值可以在DosPageInterval參數中設置。
DOSPageCount 2
#同一個用戶在同一個網站內可以同時打開的訪問數,同一個時間的數值在DOSSiteInterval中設置。
DOSSiteCount 40
#設置DOSPageCount中時間長度標準,默認值為1。
DOSPageInterval 1
#DOSSiteInterval 2 設置DOSSiteCount中時間長度標準,默認值為1。
DOSSiteInterval 1
#被封時間間隔秒,這中間會收到 403 (Forbidden) 的返回。
DOSBlockingPeriod 10
#設置受到攻擊時接收攻擊信息提示的郵箱地址。
#DOSEmailNotify you@yourdomain.com
#受到攻擊時Apache運行用戶執行的系統命令
#DOSSystemCommand “su - someuser -c ‘/sbin/… %s …’”
#攻擊日志存放目錄,BSD上默認是 /tmp
</IfModule>
啟動mod_security模塊,做些安全保證。該模塊也需要去網上單獨下載。配置文件如下:
LoadModule evasive20_module modules/mod_evasive20.so
<IfModule mod_security.c>
# 打開過濾引擎開關。如果是Off,那么下面這些都不起作用
SecFilterEngine On
# 把設置傳遞給字目錄
SecFilterInheritance Off
# 檢查url編碼
SecFilterCheckURLEncoding On
# 檢測內容長度以避免堆溢出攻擊
#SecFilterForceByteRange 32 126
# 日志的文件和位置。一定要先建立好目錄,否則apache重新啟動的時候會報錯。
SecAuditLog /**/apache2/logs/audit_log
# debug的設置
#SecFilterDebugLog /**/apache2/logs/modsec_debug_log
#SecFilterDebugLevel 1
#當匹配chmod,wget等命令的時候,重新定向到一個特殊的頁面,讓攻擊者知難而退
SecFilter chmod redirect:http://www.sina.com
SecFilter wget redirect:http://www.sina.com
#檢測POST數據,注意,請甚用這個開關,可能會導致一些post頁面無法訪問。詳細的信息,請察看www.modsecurity.org的文檔,其中有詳細的post編碼要求。
#SecFilterScanPOST Off
# 缺省的動作
SecFilterDefaultAction "deny,log,status:406"
# 重新定向用戶
#SecFilter xxx redirect:http://www.sina.com
# 防止操作系統關鍵詞攻擊
SecFilter /etc/*passwd
SecFilter /bin/*sh
# 防止double dot攻擊
SecFilter "\.\./"
# 防止跨站腳本(CSS)攻擊
SecFilter "<( |\n)*script"
# Prevent XSS atacks (HTML/Javascript injection)
SecFilter "<(.|\n)+>"
# 防止sql注入式攻擊
SecFilter "delete[[:space:]]+from"
SecFilter "insert[[:space:]]+into"
SecFilter "select.+from"
#重定向exe和asp請求
#SecFilterSelective REQUEST_URI "\.exe" "redirect:http://www.google.com"
#SecFilterSelective REQUEST_URI "\.asp" "redirect:http://www.google.com"
#下面是限制了upload.php文件只能用來上傳jpeg.bmp和gif的圖片
#
#SecFilterInheritance On
#SecFilterSelective POST_PAYLOAD "!image/(jpeg|bmp|gif)"
#
#偽裝服務器標識
SecServerSignature "Microsoft-IIS/6.0"
</IfModule>
啟動文件壓縮,縮小傳輸流量,這個是APACHE自帶的,配置文件如下:
LoadModule deflate_module modules/mod_deflate.so
<IfModule mod_deflate.c>
#壓縮的級別越高,壓縮率越大,但是也越占用服務器CPU資源,這里設為5
DeflateCompressionLevel 5
#將html、文本、xml、php進行壓縮
AddOutputFilterByType DEFLATE text/html text/plain text/xml application/x-httpd-php
# 將html、htm、xml、php、css、js進行壓縮
AddOutputFilter DEFLATE html htm xml php css js
</IfModule>
將某些非法IP列入黑名單:
<Directory "/ddd">
Order allow,deny
Allow from all
Deny from 192.168.1.1
</Directory>
配置錯誤日志和訪問日志按天分割:
ErrorLog "|/***/apache2/bin/rotatelogs /***/apache2/logs/errorlog.%Y.%m.%d 86400"
<IfModule log_config_module>
#
# The following directives define some format nicknames for use with
# a CustomLog directive (see below).
#
LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
LogFormat "%h %l %u %t \"%r\" %>s %b" common
<IfModule logio_module>
# You need to enable mod_logio.c to use %I and %O
LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\" %I %O" combinedio
</IfModule>
#
# The location and format of the access logfile (Common Logfile Format).
# If you do not define any access logfiles within a <VirtualHost>
# container, they will be logged here. Contrariwise, if you *do*
# define per-<VirtualHost> access logfiles, transactions will be
# logged therein and *not* in this file.
#
#CustomLog logs/access_log common
CustomLog "|/***/apache2/bin/rotatelogs -l /***/apache2/logs/access_log.%Y.%m.%d 86400" common
#
# If you prefer a logfile with access, agent, and referer information
# (Combined Logfile Format) you can use the following directive.
#
#CustomLog logs/access_log combined
</IfModule>
其他些關鍵配置:
#Timeout:接收和發送前超時秒數
Timeout 300
#關閉穩固連接
#KeepAlive Off
#MaxKeepAliveRequests:在穩固連接期間允許的最大請求數
MaxKeepAliveRequests 100
#KeepAliveTimeout:在同一個連接上從同一臺客戶上接收請求的秒數
KeepAliveTimeout 5
# prefork MPM
# StartServers:啟動時服務器啟動的進程數
# MinSpareServers:保有的備用進程的最小數目
# MaxSpareServers:保有的備用進程的最大數目
# MaxClients:服務器允許啟動的最大進程數
# MaxRequestsPerChild:一個服務進程允許的最大請求數
# MaxRequestPerChild 0
#如何確定APAACHE是工作在prefork模式之下?網上去查,不記得了。。。
<IfModule prefork.c>
StartServers 5
MinSpareServers 5
MaxSpareServers 10
MaxClients 150
</IfModule>
防火墻的配置:
原則上只開放80端口,而且22端口只對管理員的IP開放,另外使服務器禁PING
將22端口只對管理員IP開放:
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -s 管理員IP -j ACCEPT
將80端口對所有人開放:
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
#防止同步包洪水
#--limit 1/s 限制syn并發數每秒1次,可以根據自己的需要修改
-A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
#防止各種端口掃描
-A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
#Ping洪水攻擊(Ping of Death)
-A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
#DDOS
-A INPUT -p icmp -m limit --limit 3/s -j LOG --log-level INFO --log-prefix "ICMP packet IN: "
-A INPUT -p icmp -m limit --limit 6/m -j ACCEPT
-A INPUT -p icmp -j DROP
服務器其他的一些參數配置和觀察腳本:
服務器的禁ping
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
或者編輯/etc/sysctl文件,使用/sbin/sysctl -p 使配置生效
當前連接數的排序
netstat -nat|grep ":80"|awk '{print $5}' |awk -F: '{print $1}' | sort| uniq -c|sort -n
APACHE連接狀態排序
netstat -nat|awk '{print awk $NF}'|sort|uniq -c|sort -n
統計訪問數最多的IP
cat access_log.2010.08.05|gawk -F: '{print $1}' | sort| uniq -c|sort -n
cat access_log.2010.08.04|gawk -F: '{print $1}' | sort| uniq -c|sort -n
ps -ef|grep httpd|wc -l
netstat -na | grep :80 |grep ESTABLISHED |wc -l
利用apache的mod_evasive模塊的日志,查看哪些時間段DDOS攻擊比較多:
cat /var/log/messages |grep mod_evasive|gawk '{print $1,$2,$3}' | gawk -F: '{print $1}'| sort| uniq -c|sort -n【精確到小時】
cat /var/log/messages |grep mod_evasive|gawk '{print $1,$2,$3}' | gawk -F: '{print $1,$2}'| sort| uniq -c|sort -n【精確到分鐘】
統計攻擊最多的IP
cat /var/log/messages |grep mod_evasive|gawk '{print $8}' | sort| uniq -c|sort -n
統計apache日志中訪問最多的IP
cat access_log.2010.08.05|gawk '{print $1}'|sort|uniq -c|sort -n
gawk -F 指定分隔符
sort 排序 uniq 去除相鄰重復的行,并統計個數 sort -n 按照數字進行排序
比如我們在 /etc/hosts.allow中加入
all:192.168.1.
這樣就會允許來自192.168.1.*域的所有的客戶來訪問。這只是舉個例子,實際上,系統默認狀態 下,都是能用這些網絡服的
如果我們在 /etc/hosts.deny中加入,就限制了來自192.168.1.*域的所有的所有的IP。
all:192.168.1.
如果我們在 /etc/hosts.deny中加入
all:192.168.1.1,這樣就限制了所有在192.168.1.1中的所有的用戶的訪問。
當hosts.allow和 host.deny相沖突時,以hosts.allow設置優化。
設置好后,要重新啟動
# /etc/rc.d/init.d/xinetd restart
# /etc/rc.d/init.d/network restart
系統日志的檢查:
二、 messages日志
首先說下我們最關注的系統/var/log/messages,這東東不僅是咱們服務器的系統日志,
很多時候它也做了許多服務的日志,這也是它被稱為雜貨鋪的原因,值得重點關注,大家一般都喜歡用以下命令看最后十條日志
tail -n10 /var/log/messages
其實還可以將一段日志保存成文件,正用練下自己的awk、sed和grep水平;或者直接用vim來查看,
這也是算是一種經驗之談吧。我以前配置bind的主從復制,有
時因為權限的原因報錯;
這時可以在一臺報錯的服務器上用命令tail -f /var/log/messages實時查看服務器的變化情況,
從中查找錯誤的蛛絲馬跡;事實證明,效果很好,而且用于lvs+keepalived的排錯效也不錯,其它事例依此類推。
三、secure的用法
/var/log/secure:記錄登入系統存取數據的文件,例如 pop3, ssh, telnet, ftp 等都會被記錄,我們可以利用此文件找出不安全的登陸IP。
四、記錄登陸者的數據
/var/log/wtmp:記錄登入者的訊息數據,由于本文件已經被編碼過(為二進制文件),
所以必須使用 last指令來取出文件的內容,你用cat等命令直接查看此文件是不行的。
五、lastlog記錄系統時間
/var/log/lastlog : 記錄每個使用者最近簽入系統的時間, 因此當使用者簽入時,
就會顯示其上次簽入的時間,您應該注意一下這個時間, 若不是您上次簽入的時間,
表示您的帳號可能被人盜用了。 此檔可用 /usr/bin/lastlog 指令讀取(Freebsd下為/usr/sbin/lastlogin)。
六、用dmesg查看啟動消息
dmesg提供了一個簡單的方法查看系統啟動信息。當Linux啟動的時候,內核的信息被存入內核ring緩存當中,
dmesg可以顯示緩存中的內容。默認情況下,dmesg打印內容到屏幕上面,當然你可以重定向輸出到一個文件。
如果硬件損壞的話,在dmesg日志里是有顯示的,可用以下命令來查看dmesg | grep error
七、服務器的郵件日志
服務器的郵件為/var/log/messages,如果要用專業的日志分析工具來分析的話,
我推薦用Awstats;由于公司的開發對郵件的要求比較低,所以我幫他們配置的就是最簡單的sendmail,
有時看看郵件日志里的status狀態來判斷郵件到底有沒有正確發送;在配置Nagios 服務器,
我也習慣用此日志來判斷報警郵件到底有沒有發送,如果對自己的shell水平足夠自信,
也可以寫腳本來收集郵件服務器的返回狀態等,但專業的事情,建議還是由專業的工具來做,
特別是郵件負載比較大時,每天幾百萬條日志或上千萬條日志不是開玩笑的。
本文出自:億恩科技【www.czbl888.cn】
服務器租用/服務器托管中國五強!虛擬主機域名注冊頂級提供商!15年品質保障!--億恩科技[ENKJ.COM]
|
0371-60135900
京公網安備41019702002023號
香港服務器租用
美國服務器租用
電信骨干機房
聯通骨干機房
