最近巡查线上服务器,简单记录过程
一、防火墙
iptabels确保打开状态,确保防火墙没有漏洞
二、登陆信息
1、正常登陆的账号,看是否有其他非法账号登陆
管理账号是否在常用地方登陆(公司的出口IP,VPNIP)
last
who /var/log/wtmp #可以吧时间转换为友好时间格式
2、查看登陆失败的信息
lastb
看到一些尝试登陆账号
有一些尝试的信息 说明iptables没开 或者没有禁止非授权的IP访问
3、查看ssh 安装日志
/var/log/secure
看失败的
pam_unix(sshd:auth): authentication failure
这一步就是lastb,其实只要防护墙限制了ssh的来源IP身下的失败都是自己输入密码错误引起的
grep 'uthentication failue' /var/log/secure*
验证成功的信息,关注有哪些用户,这些用户的来源IP
使用key的
Accepted publickey for mhgmt from 184.173.170.162 port 53638 ssh2
grep 'Accepted publickey' /var/log/secure.1 |awk '{print $9,$11}'
使用密码
Accepted password for root from 218.213.228.186 port 62362 ssh2
查看一下 使用密码登陆的用户和来源IP
# grep 'Accepted password' /var/log/secure.1 |awk '{print $9,$11}'
root 218.213.228.186
root 218.213.228.186
日志收集起来 可以分析导入数据库,然后做展示以及报警用途
报警 可以严格 用户-IP 匹配的情况,如果不是这个IP就报错
三、查看进程和连接状态
一般查看进程不容易看出问题
可以查看连接状态 看是否开了异常端口 有异常连接
netstat -antlp
netstat -antlp |grep ESTABLISHED
netstat -antlp |grep LISTEN
如果有异常程序开了异常端口,则全系统查找异常程序,或者根据程序里路劲查找
一般情况下 异常的程序都会放在隐藏目录下, 目录名有空格 等 需要转义才能进入程序目录
四、问题
在这过程中发现研发团队使用oracle这个账号,提醒不要使用弱密码,1-2个月修改一次
另外有一个zabbix应该是nologin的,这里居然有shell权限,也是另外做监控研发团队安装zabbix脚本添加的
zabbix:x:501:502::/home/zabbix:/bin/bash
$ passwd -l zabbix
$ su - zabbix
Password:
su: incorrect password
锁住账号 然后使用普通账号切换,无法切换
再观察zabbix抓取数据是否正常,正常就没问题了