RHCE技術(shù)培訓(xùn)-系統(tǒng)性能和安全介紹

1、RedHat RHCE 操作系統(tǒng)技術(shù)培訓(xùn)資料系統(tǒng)性能和安全介紹單元1系統(tǒng)性能和安全目標(biāo)以服務(wù)形式提供系統(tǒng)資源從原則角度討論安全性從實(shí)際操作角度討論安全性 安全策略：用戶安全策略：系統(tǒng)響應(yīng)策略 系統(tǒng)錯(cuò)誤和違例 對(duì)錯(cuò)誤進(jìn)行分析的方法 錯(cuò)誤分析：假說 對(duì)錯(cuò)誤進(jìn)行分析的方法（續(xù)）錯(cuò)誤分析：收集數(shù)據(jù)系統(tǒng)監(jiān)控的益處網(wǎng)絡(luò)監(jiān)控工具聯(lián)網(wǎng)，本地視圖聯(lián)網(wǎng)，遠(yuǎn)程視圖文件系統(tǒng)分析 典型的可疑權(quán)限監(jiān)控進(jìn)程進(jìn)程監(jiān)控工具報(bào)告系統(tǒng)活動(dòng)根據(jù)賬戶管理進(jìn)程系統(tǒng)日志文件syslogd 和 klogd 的配置日志文件分析結(jié)束 單元 1目標(biāo)學(xué)習(xí)了本單元后，你應(yīng)該能夠： 理解系統(tǒng)性能和安全的目標(biāo) 描述安全域 描述系統(tǒng)錯(cuò)誤 解釋系統(tǒng)錯(cuò)誤分析方

2、法 解釋維護(hù)系統(tǒng)狀態(tài)的益處 描述聯(lián)網(wǎng)資源 描述貯存數(shù)據(jù)的資源 描述進(jìn)程資源 描述日志文件分析以服務(wù)形式提供系統(tǒng)資源 計(jì)算機(jī)體系由各種“角色”組成 提供服務(wù)的系統(tǒng) 請(qǐng)求服務(wù)的系統(tǒng) 系統(tǒng)體系由各種“角色”組成 提供服務(wù)的進(jìn)程 請(qǐng)求服務(wù)的進(jìn)程 處理體系由各種“角色”組成 提供服務(wù)的賬戶 接受服務(wù)的賬戶 作為保護(hù)系統(tǒng)安全的策略，系統(tǒng)資源及其使用必須要被逐項(xiàng)記錄從原則角度討論安全性 安全領(lǐng)域 物理 本地 遠(yuǎn)程 人事從實(shí)際操作角度討論安全性 從設(shè)計(jì)目標(biāo)上講，系統(tǒng)提供可用資源 從策略上講，系統(tǒng)保留可用資源 只提供您必須提供的服務(wù)，只提供個(gè)必需的用戶 “我需要提供這個(gè)服務(wù)嗎？我知道自己在提供它嗎？” “他們需

3、要這個(gè)服務(wù)嗎？他們知道這個(gè)服務(wù)的存在嗎” “系統(tǒng)行為和它的歷史記錄一致嗎？” “我有沒有應(yīng)用所有相關(guān)的安全更新？” 監(jiān)控系統(tǒng)資源的安全弱點(diǎn)和不良性能安全策略：用戶 管理用戶活動(dòng) 包括安全策略的維護(hù) 誰負(fù)責(zé)什么？ 關(guān)于假警報(bào)，誰做最后的決定？ 什么時(shí)候通知警方？安全策略：系統(tǒng) 管理系統(tǒng)活動(dòng) 定期系統(tǒng)監(jiān)控 在外部服務(wù)器上記載日志，以防萬一系統(tǒng)泄密 使用 logwatch 來監(jiān)控系統(tǒng)日志 監(jiān)控輸入和輸出的帶寬用量 定期備份系統(tǒng)數(shù)據(jù)響應(yīng)策略 假定可疑的系統(tǒng)是不值得信任的 不要運(yùn)行來自可以系統(tǒng)的程序 用可信的介質(zhì)引導(dǎo)，校驗(yàn)是否有破環(huán)之處 分析遠(yuǎn)程記錄器的日志和“本地”日志 根據(jù)只讀的備份 RPM 數(shù)據(jù)庫(kù)

4、來檢查文件的完整性 為機(jī)器制作一份系統(tǒng)映像，進(jìn)行進(jìn)一步的分析和證據(jù)收集 重新安裝機(jī)器，從備份中恢復(fù)數(shù)據(jù)系統(tǒng)錯(cuò)誤和違例 都會(huì)影響系統(tǒng)性能 系統(tǒng)性能關(guān)系到系統(tǒng)安全 系統(tǒng)錯(cuò)誤會(huì)生出體系空擋 體系空擋會(huì)給另類資源訪問提供可乘之機(jī) 另類資源訪問機(jī)會(huì)會(huì)導(dǎo)致無法記錄的資源訪問 無法記錄的資源訪問時(shí)違反安全策略的行為對(duì)錯(cuò)誤進(jìn)行分析的方法 判斷問題的性質(zhì) 再現(xiàn)出錯(cuò)過程 查找進(jìn)一步信息錯(cuò)誤分析：假說 形成一系列假說 挑選一個(gè)假說來證明 測(cè)試假說對(duì)錯(cuò)誤進(jìn)行分析的方法 （續(xù)） 記錄結(jié)果，若有必要建立或測(cè)試新的假說 如果簡(jiǎn)單的假說沒有產(chǎn)生有建設(shè)性的結(jié)果，就需要進(jìn)一步分析問題錯(cuò)誤分析：收集數(shù)據(jù) strace tail f

5、 syslog 的 *.debug 應(yīng)用程序中的 debug 選項(xiàng)系統(tǒng)監(jiān)控的益處 系統(tǒng)性能和安全可以通過定期系統(tǒng)監(jiān)控來維護(hù) 系統(tǒng)監(jiān)控包括: 網(wǎng)絡(luò)監(jiān)控和分析 文件系統(tǒng)監(jiān)控 進(jìn)程監(jiān)控 日志文件分析網(wǎng)絡(luò)監(jiān)控工具 網(wǎng)絡(luò)接口（ip） 顯示系統(tǒng)中可用的網(wǎng)絡(luò)接口 端口掃描器（nmap） 顯示系統(tǒng)中的可用服務(wù) 數(shù)據(jù)包嗅探器（tcpdump、wireshark） 保持和分析所有“嗅探”系統(tǒng)式看得到的網(wǎng)絡(luò)流量聯(lián)網(wǎng)，本地視圖 ip 工具 被初始化腳本調(diào)用 比 ifconfig 命令的功能更強(qiáng)大 使用 netstat ntaupe 來獲取一下列表： 活躍的網(wǎng)絡(luò)服務(wù)器 建立的連接聯(lián)網(wǎng)，遠(yuǎn)程視圖 nmap 報(bào)告在對(duì)遠(yuǎn)程連

6、接開放的端口上的活躍服務(wù) 具備高級(jí)掃描選項(xiàng) 提供遠(yuǎn)程 OS 檢測(cè) 在小型或大型子網(wǎng)中掃描 沒有被掃描系統(tǒng)管理員的書面許可，不要使用該程序 ！ 帶有圖形化前端（nmapfe）文件系統(tǒng)分析 定期文件系統(tǒng)監(jiān)控能夠防止 用盡系統(tǒng)資源 缺乏訪問控制導(dǎo)致的安全違例 文件系統(tǒng)監(jiān)控應(yīng)該包括： 數(shù)據(jù)完整性掃描 檢查可疑文件 工具：df、du典型的可疑權(quán)限 沒有已知用戶的文件可能代表未經(jīng)授權(quán)的訪問： 查找不屬于 /etc/passwd 文件中列出的用戶或組群的文件和目錄： find / ( -nouser o -nogroup) 帶有“其它（other）”寫權(quán)限（o+w）的文件或目錄可能代表有潛在問題 查找可被“

7、其它”用戶寫入的文件: find / -type f perm -002 查找可被“其它”用戶寫入的目錄： find / -type d perm -2監(jiān)控進(jìn)程 監(jiān)控進(jìn)程來決定： 性能降低的原因 是否有正在執(zhí)行的可疑進(jìn)程 監(jiān)控工具 top gnome-system-monitor sar進(jìn)程監(jiān)控工具 top 實(shí)時(shí)查看處理器活動(dòng) 交互地終止（kill）進(jìn)程或重設(shè)其優(yōu)先級(jí)（renice） 查看系統(tǒng)的統(tǒng)計(jì)數(shù)據(jù)，總數(shù)或累計(jì)數(shù)據(jù) 圖形化（GUI）系統(tǒng)監(jiān)控工具 gnome-system-monitor:GNOME的進(jìn)程、CPU、和內(nèi)存監(jiān)控器 kpm：KDE平臺(tái)中的 top 命令報(bào)告系統(tǒng)活動(dòng) 定時(shí)報(bào)告，超時(shí)

8、 cron 命令大量產(chǎn)生sa1 和 sa2 sar 讀取和生成“可讀”的日志 通常用來對(duì)性能進(jìn)行微調(diào) 更準(zhǔn)確的統(tǒng)計(jì)數(shù)據(jù) 二進(jìn)制“數(shù)據(jù)庫(kù)”采集方法 定期 模式的存在跡象表明哪些活動(dòng)屬于“正?！被顒?dòng)根據(jù)賬戶管理進(jìn)程 使用 PAM 來在賬戶資源上設(shè)置控制會(huì)限制 pam_access.so 可以被用來按賬戶和位置來限制訪問 pam_time.so 可以被用按照日期和時(shí)間來限制訪問 pam_limits.so 可以被用來限制進(jìn)程可用的資源系統(tǒng)日志文件 為什么要監(jiān)控日志文件？ 要監(jiān)控哪些日志？ 日志記錄服務(wù)： 許多守護(hù)進(jìn)程都將信息發(fā)送給 syslogd 命令 內(nèi)核信息由 klogd 命令處理 syslogd 和 klogd 的配置 在 /etc/syslog.conf 配置 syslogd 和 klogd 語法： facility.prioritylog_location 示例： /dev/tty8日志文件分析 應(yīng)該定期執(zhí)行 安裝 logwatch，并由 crond 每小時(shí)