监控及selinux的简单应用

  1. 基本概念

    这里涉及的是两个监控

    1. 端口
    2. 文件

简单端口查看命令netstat tulnp

然后就是端口对应服务的信息所在文件/etc/services

文件的监控就是通过安装aide这个软件,然后就在/etc下面产生了aide.conf这个配置文件,在文件中选择需要监控的文件,然后就通一次扫描,将监控的文件的原始数据记忆下来,那么当监控的文件出现了任何的更改后,通过二次扫描就可以被发现了。从而进行处理。

查看端口的相关命令

routeros 上网行为管理

netstate 网络状态监控

-t tcp

-l listen

-p pid/grogram name

-a 显示所有连接

-u udp

-n uip

-e 扩展

-s 统计

netstate -tulnp 查端口

/etc/service 记录计算机上所有服务的端口

监控文件的相关命令

Aide init 一次扫描(记录文件的原始数据)

Aide check 二次扫描(记录改变文件后的数据)

Selinux的三种状态

Enforcing 强制不允许访问

Permissive 验证成功后就可以访问

Disabled 禁止(不启用selinux的功能)

首先是命令netstat tulnp 这个命令查看的是端口的开启情况

如果需要查看具体的端口是否开启,可以进行查询,这里查看的是21号端口,是开启的

如果关掉后,查看就发现没有21号端口的信息了

如果想要知道端口具体对应的服务,可以进入到/etc/services中来寻找

2.入侵检测试验

aide 入侵检测软件

/etc/aide.conf aide的配置文件

aide --init 扫描(初始化数据库)

--check (检查数据的完整)

接下来做入侵检测,那么就需要安装一个软件aide

安装后就会在/etc下产生一个aide.conf的文件,这是aide软件的配置文件

进入/etc/aide.conf后就可以看到如下,这些文件都可以进行监控,如果设置为NORMAL后,以下文件如果被入侵并串改就可以检测出来,这里就以/boot为例

下面就是对NORMAL的一个解释,我们可以知道检测的东西很详细


在/var/lib/aide下用命令aide --init进行扫描,注意aide下有个文件 aide.db.new.gz,这是监控的文件的原始数据,应该用U盘拷走,需要检查监控的文件是否被更改,就可以拿出来了

接下来就模拟有入侵者进入,在/boot下创建了一个文件,想要对/boot进行破坏

在正常情况下,我们是无法发现的,但是/boot下是很重要的,因此必须用监控来查看

那么我们仅需要使用命令aide --check 进行扫描,就可以发现/boot下是否有东西被更改


  1. 做selinux实验

/etc/sysconfig/config

/etc/selinux/config

enforcing 强制

permissive 警告 只适用于判断系统是服务本身问题还是selinux问题(系统默认的selinux就是这个)

disable 禁用()

getenforce 查看当前selinux状态

setenforce 0 设置级别为permissive

setenforce 1 设置级别为enforcing

policycoreutils-gui 安装包

system-config-selinux 图形化设置selinux

进入/etc/sysconfig/selinux中,就可以更改selinux了

然后命令getenforce就是查看级别,下面这个必须在重启系统后才可以看到

接下来就是selinux的一个应用,也就是区分selinux处于permissive和enforcing状态的区别

当selinux处于enforcing状态时,通过远程访问主机,查看ftp下的文件,发现登录到对方的普通用户后无法看到用户的家目录文件

然后将selinux改为permissive

再次查看就可以啦

由此可知,当selinux处于enforcing时,即使登录成功,也无法查看文件,

当selinux处于permissive时,登录成功后就可以看到文件了。

那么如何解决selinxu处于enforcing时,登录成功后可以查看文件的问题呢?这个就需要用bool开关了,这个会在context值和bool开关的实验报告里解决的!

时间: 2024-10-21 12:46:12

监控及selinux的简单应用的相关文章

监控系统Zabbix的简单应用

一.简介 zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案. zabbix能监视各种网络参数,保证服务器系统的安全运营:并提供柔软的通知机制以让系统管理员快速定位/解决存在的各种问题.zabbix由2部分构成,zabbix server与可选组件zabbix agent.        zabbix server可以通过SNMP,zabbix agent,ping,端口监视等方法提供对远程服务器/网络状态的监视,数据收集等功能,它可以运行在Linux,

Centos 7安装与配置nagios监控(一)

目  录 序言(必备知识) 一.安装规划 1.1系统环境 1.2所需软件包 二.配置安装环境 2.1同步时间 2.2禁用SElinux 2.3 xftp上传软件包 2.4安装邮件服务 三.监控主机安装 3.1安装nagios的运行环境 3.2增加用户 3.3安装nagios 3.4配置权限 3.5安装插件 3.6安装nrpe 四.远程主机安装 4.1配置运行环境 4.2安装nagios-plugin 4.3安装nrpe 4.4启动nrpe 五.监控主机安装PNP 5.1配置开发环境 5.2安装p

Nagios监控基础安装与监控项部署(上)

前言:NAGIOS介绍: Nagios是一款开源的电脑系统和网络监视工具,能有效监控Windows.Linux和Unix的主机状态,交换机路由器等网络设置,打印机等.在系统或服务状态异常时发出邮件或短信报警第一时间通知网站运维人员,在状态恢复后发出正常的邮件或短信通知. 主要功能 (1)网络服务监控(SMTP.POP3.HTTP.NNTP.ICMP.SNMP.FTP.SSH) (2)主机资源监控(CPU load.diskusage.system logs),也包括Windows主机(使用NSC

项目实战——企业级Zabbix监控实战(一)

项目实战--企业级Zabbix监控实战 实验一:Zabbix监控的搭建 1.实验准备 centos系统服务器3台. 一台作为监控服务器, 两台台作为被监控节点, 配置好yum源. 防火墙关闭. 各节点时钟服务同步. 各节点之间可以通过主机名互相通信. 1)所有机器关闭防火墙和selinux iptables -F && setenforing 2)根据架构图,实验基本设置如下: 2.Zabbix的安装 1)更新我们的yum仓库 我们去官网下载一个包zabbix-release-3.4-2.

zabbix监控平台部署详细文档

监控系统介绍 一:监控介绍 1.监控软件介绍:使用 SNMP 协议获取主机 CPU.内存.磁盘.网卡流量等数据.用脚本将获取到的 SNMP 数据存入数据库中,然后再使用一种名为 MRTG 的软件根据获取的数据绘制图表来分析数据的变化.MRTG(Multi Router Traffic Grapher),顾名思义,这款软件最初是设计用于监控网络链路流量负载的.它可以用过 SNMP 获取到设备的流量信息,并根据这些信息绘制成图表并保存为 PNG 格式的图片,再将这些 PNG 图片以HTML 页面的方

Cacti监控

cacti是用php语言实现的一个软件,它的主要功能是用snmp服务获取数 据,然后用rrdtool储存 和更新数据,当用户需要查看数据的时候用rrdtool生成图表呈现给用户.本文全面介绍了Cacti的工作流程.安装.使用.脚本和模板.插件.高级应 用方面的内容. 本系列文档介绍了Cacti监控工具的各个方面,包括: 一.Cacti的工作流程二.Cacti的安装三.Cacti的使用四.Cacti脚本及模板 一.概述 1. cacti是用php语言实现的一个软件,它的主要功能是用snmp服务获取

如何使用ARMS配置tengine的日志监控

来自 深圳市小亿网络有限公司 王昕岩 的撰稿 最近公司通过阿里云的业务实时监控服务 ARMS成功搭建了基于tengine的日志监控系统.这里简单分享一下使用[font=&quot]ARMS用于监控[font=&quot]tengine日志的经验.[font=&quot] 公司发展至今,现阶段所有接口都使用阿里的tengine作为web容器,类似nginx,在日志中也记录了包括host,url, ip, 包体大小,响应时长等信息.目前的业务需求场景是希望有一套系统来监控接口的异常,来

阿修罗监控系统AsuraMonitor

Monitor是一个功能强大.灵活的监控系统.系统安装简单,配置简单,相比zabbix, nagios,cacti,小米监控等都使用相当简单.只需要会写脚本,语言不限就可以实现任意监控需求. 软件已开源: 托管地址:https://github.com/AsuraTeam/monitor 它具有以下特点: 1.数据采集免配置: agent自发现.agent主动推送, 任何数据自定义脚本 2.可扩展性, 扩展简单,随时扩,随心扩3.历史数据查询, 可以秒级返回全年数据趋势图, 多个指标数据, 趋势

运维监控平台之ganglia

1.ganglia简介 Ganglia 是一款为 HPC(高性能计算)集群而设计的可扩展的分布式监控系统,它可以 监视和显示集群中的节点的各种状态信息,它由运行在各个节点上的 gmond 守护进程来采 集 CPU .内存.硬盘利用率. I/O 负载.网络流量情况等方面的数据,然后汇总到 gmetad 守护进程下,使用 rrdtool 存储数据,最后将历史数据以曲线方式通过 PHP 页面呈现. Ganglia 的特点如下: 良好的扩展性,分层架构设计能够适应大规模服务器集群的需要 负载开销低,支持