Nagios是一种监控软件,能够帮助用户迅速了解主机和互联网上出现的问题,并且可以将其配置为在任何网络使用。在任何版本的Linux操作系统上安装Nagios 服务器 都是非常快速的过程,不过安全的安装则要花费一些功夫。本文将重点探讨如何提高Nagios的安全性问题,而不会讲解如何安装Nagios的问题,因为已经太多类似文章。
你可能会疑惑为什么需要考虑Nagios服务器的安全问题?因为如果Nagios受到攻击的话,黑客将获取大量信息。下文的示例都是在Ubuntu环境进行的,不过这些示例能够帮助任何环境下的用户提高Nagios服务器的安全性,因为基本概念是一致的。
Web界面
如果你按照互联网上提供的快速安装指南安装Nagios,很可能只是安装了web界面,因为Nagios使用Apache显示出很多其他安全选项。
下面是Nagios web界面的apache配置的例子:
Options:ExecCGIAllowOverride:NoneOrder allow:denyAllow from:allAuthName:"Nagios Access"AuthType:BasicAuthUserfile:/usr/local/nagios/etc/htpasswd.usersRequire:valid-user |
“Allow from”选项是用来明确只能向某些IP地址和/或网络提供访问权限的,上面例子中允许所有IP地址访问该web界面。其他安全选项是用于身份验证的,“AuthType”定义了使用哪种身份验证类型,只有两种类型可供选择Basic或者Digest,基本验证(Basic)会将用户密码和用户名作为纯文本提交,而Digest验证的密码则会作为MD5 digest提交,很明显后者更加安全。
为了提高安全性我们需要进行如下修改:
Options:ExecCGIAllowOverride:NoneOrder allow:denyAllow from:192.168.4.AuthName:"Nagios Access"AuthType:DigestAuthDigestFile:/usr/local/nagios/etc/htpasswd.usersRequire:valid-user |
这个配置中,只有192.168.4.0网络的电脑可以访问该web界面,并且我们现在使用Digest验证取代了不安全的基本验证方法。
现在我们需要添加允许访问web网络的用户以及密码,使用下列命令来为digest验证添加新用户:
# htdigest -c /usr/local/nagios/etc/htpasswd.users realm username
Digest验证确实比Basic验证更加安全,不过保护用户名和密码安全最好的方法还是使用SSL。
进行任何配置更改后都必须重新启动apache,命令如下:.
# /etc/init.d/apache2 restart
最佳做法
本节将列举出一些安装Nagios服务器的最佳安全做法,具体如下:
· 不要以root身份运行Nagios。需要有一个名为nagios的普通用户,如果Nagios作为root运行,那么当Nagios受到攻击时,攻击者就能够对用户系统为所欲为了。.
· 锁定Check Result Directory。 确保只有nagios用户拥有对check result directory的读取/写入权限,否则攻击者将可能发送伪造的主机和服务检查结果,该目录通常位于这个位置:/usr/local/nagios /var/spool/checkresults。
· 在Command Definitions中使用完整路径。当定义命令时,请明确完整的路径,而不是与正在执行的任何脚本或者二进制相关的路径。
· 保护远程代理安全。远程代理包括NRPE,、NSClient以及SNMP等,下文中我们将介绍保护NRPE远程代理的步骤。
保护远程代理(remote agent)
本节我们将研究如何保障NRPE安全的问题。该远程代理用于在远程主机上执行检查程序(检查负载或者磁盘使用等),我们不会希望任何程序或者用户能够在远程机器上执行命令,因此保障NRPE的安全性是非常重要的。
由于NRPE附带有对TCP wrappers的支持,我们可以定义哪些主机允许访问NRPE:
/etc/hosts.allownrpe:192.168.1.91以上示例中,只有192.168.1.91可以在该主机上使用这个远程代理,你可以将你的Nagios客户端IP地址取代192.168.1.91,请注意应该同时用于你的Nagios服务器和客户端。
NRPE绝不能作为root或者任何其他superuser来运行,它只能作为nagios用户组中的nagios用户来运行,可以在/etc/nagios/nrpe.cfg位置查看NRPE是否作为nagios运行:
part of /etc/nagios/nrpe.cfgnrpe_user=nagiosnrpe_group=nagios
NRPE的另一部分也可能成为安全漏洞,即允许command arguments。我们当然不希望看到攻击者通过发送恶意arguments攻击我们的系统,确实有时候需要允许Nagios发送command arguments,但如果大部分时候不需要启用此功能,那么一定要禁用。
禁用此功能需要编辑/etc/nagios/nrpe.cfg 并确保你执行下列命令:
dont_blame_nrpe=0
用户进行任何配置更改后都必须重新启动nrpe.cfg,想要了解更多关于NRPE安全的信息请阅读数据包源文件中的SECURITY文件。
保护通信渠道安全
在网络进行通信时,必然要涉及到通信安全问题,这也正是SSL的用武之地。
NRPE可以允许你启用SSL功能,但是数据包必须已经配置为–enable-ssl option(启用SSL选项),如果NRPE配置为使用SSL功能,请注意客户端和服务器都必须同时启用。
下一步我们还需要配置SSL以提高其安全性,这样才不至于发送简单的纯文本web界面密码:
# openssl genrsa -des3 -out server.3des-key 1024# openssl rsa -in server.3des-key -out server.key# openssl req -new -key server.key -x509 -out server.crt -days 365# chmod 600 server.key# rm server.3des-key# mv server.crt /etc/ssl/# mv server.key /etc/ssl/private/
现在我们已经生成了证书,需要告诉Apache来使用这些证书。
在Apache配置中,需要添加SSLRequireSSL选项,例如:
SSLRequireSSLOptions:ExecCGIAllowOverride:NoneOrder allow:denyAllow from:192.168.4.AuthName:"Nagios Access"AuthType:DigestAuthDigestFile:/usr/local/nagios/etc/htpasswd.usersRequire:valid-user |
请记住重新启动Apache:
# /etc/init.d/apache2 restart
现在Nagios服务器已经很安全了,下一步就是即使进行安全更新。
与了解更多Nagios相关资料,可以访问Nagios Documentation
谁知道缺省是什么意思?
缺省就是“默认”的意思是软件使用中 您不做任何设置 软件或者操作系统默认的设置参数 这些参数往往是最保守和适应性最广的外挂:一个游戏辅助工具外挂这个词并非天生就是破坏和作弊的代名词,任何游戏都有繁琐,无聊的一面,只要分寸把握得当,外挂也能提高游戏的可玩性,同时还能帮大家节省一些时间的网费和点卡费。 而外挂就是建立在网络游戏服务器与各个玩家的客户端程序之间的自动控制和修改传输数据的程序,它一般有以下四种模块:1。 自动化管理,外挂挂机的主要功能。 2。 减小(增大)游戏指令与指令之间的间隔时间,例如:快速战斗,快速劳动等(非变速齿轮的直接加快游戏速度的效果)。 3。 执行一些因为玩家个人游戏信息的问题而在客户端无法直接执行的命令,但这个命令在客户端却是允许的(例如等级1就执行等级99级才能执行的指令)。 3。 修改客户端正常的指令发送至服务器达到一定的特殊效果,这种指令是一般客户端不能编译发送的,但服务器却可正常接收执行,如:发送GM的系统消息。 又如:把一个在游戏中价值10的物品卖成,简单的举子,例如这个物品代号为a,原本应发送a。 10这个数据,但通过外挂把这个数据改为a。 这样就把10的东西卖到。 制作外挂就是大量收集正常数据指令并观察其规律,之后通过修改并集中这些数据指令制作出外挂的各模块,之后编成一个软件。 以下是对4个模块的原理分析以及和网络游戏的“处分”的关系。 1。 自动化模块是用一个智能程序(懂高级语言的朋友应该都明白这里用了大量的选择结构)来控制收发数据达到自动化。 这些都属于与正常客户端的数据,智能挂机程序就相当于一个人在执行游戏,所以服务器无法区别正常的客户端与外挂。 所以此模块100%安全。 2。 对于每种游戏的指令的间隔时间在正常的客户端中是固定,但在服务器却是有一个最长时间和一个最短时间,当超过最长时间或最短时间时就会被服务器断开连接(所谓的被踢出),有些朋友这时会问,为什么服务器要这样设置呢?这也是玩网络游戏掉线的原因,是因为客户端与服务器双方的网络延迟所设置的,可能是玩家的客户端网速不佳,也可能是服务器超负荷,以至于造成数据等待。 所从外挂正好利用这一点,以服务器最短(或最长)时间收发数据来提高游戏的效率。 一些反对外挂的人就利用外挂的这一点来批评外挂,说外挂的数据造成服务器超负荷,影响了其它玩家(俗称“卡”)不能正常游戏。 按公平的角度来说,外挂是有影响,但微乎其微,主要是因为服务器设备以及维护本身就很差,网络游戏公司不肯花钱去调整,如果能直正达到当前在线人数不超过设备所容纳人数。 那应该是没问题的。 如果超了。 不用外挂本身就很“卡”。 这个模块也是100%安全。 3。 这种就是把自已不满条件的指令“偷”来再发送。 但服务器可能对这个管理比较严,不一定所有的指令“偷”来都能被服务器执行,但这个决对是100%安全的,因为这些数据不论在客户端还是服务器都是合法的,如果专门设置一个程序来查这方面的外挂会误伤到很多玩家。 所以服务器只能来限制当数据不达到条件时不予执行。 4。 此模块应该算网络游戏的bug而作文章的,但这便是被“处分”的主要原因,它虽然能达到很强的效果,但是严重影响了游戏规则,当发送这种数据会自动被服务器记录,因为太明显。 这个模块好比一个糖衣炮弹,吃不好就会“死”,它的安全系数为0。
CDN防御与高防服务器有什么区别?
CDN的防御方式:
而CDN采用多节点分布,能解决各地区不同网络用户访问速度,解决并发量减轻网站服务器的压力,并且隐藏源站ip,从而让攻击者找不到源站ip,无法直接攻击到源服务器,使攻击打到CDN的节点上。 CDN则每个节点都是单机防御,每个节点都有套餐防御的对应防御,除非是攻击超过套餐防御,不然网站是不会受到影响,可以为客户的网站得到安全保障。
高防服务器的防御方式:
高防服务器采用单机防御或者集群防御,攻击直接打在源服务器上的。 攻击可能会导致服务器的带宽CPU内存使用率跑到100%,甚至可能直接影响到源站,导致卡死亦或者网站打不开和访问不了等诸多问题。
当我们发现网站或服务器被DDOS攻击时,不要过度惊慌失措,先查看一下网站服务器是不是被黑了,找出网站存在的黑链,然后做好网站的安全防御,开启IP禁PING,可以防止被扫描,关闭不需要的端口,接入墨者安全高防。 不过单独硬防的成本挺高的,企业如果对成本控制有要求的话可以选择墨者安全的集群防护,防御能力是很不错的,成本也比阿里云网易云这些大牌低。
登录用户 实现购物车cookie怎么写
处理cookie思路。 。 //以用户的用户名和密码创建cokieCookienameCookie=newCookie(name,((),utf-8));CookiepasswordCookie=newCookie(password,((),utf-8));//设置cookie的实效时间(7*24*60*60);(7*24*60*60);//设置Cookie的父路径(()+/);(()+/);//放入Cookie到响应头HttpServletResponseresponse=();(nameCookie);(passwordCookie);
发表评论