系/統(tǒng)/運(yùn)/維/技/術(shù)項(xiàng)目4

移動(dòng)電商安全運(yùn)維講師：項(xiàng)目引入

經(jīng)過(guò)幾次“大事件”和“大調(diào)整”，整個(gè)移動(dòng)電商系統(tǒng)已經(jīng)逐漸走向穩(wěn)定，特別是運(yùn)維自動(dòng)化之后，整個(gè)系統(tǒng)的穩(wěn)定性都有了質(zhì)的飛躍。就在我們稍加喘息的時(shí)候，市場(chǎng)部門反映接到用戶投訴，原因是用戶的賬戶密碼莫名其妙被修改了。得到這一信息，Philip組織召開部門緊急會(huì)議，務(wù)必找出原因。經(jīng)過(guò)仔細(xì)深入的排查，我們發(fā)現(xiàn)此次賬戶盜竊是由于用戶在其他網(wǎng)站的個(gè)人賬戶秘密泄露，被不法分子利用。雖然此次事件的首要責(zé)任不在我們公司，但同樣給我們敲響了警鐘，為防范于未然，在接下來(lái)的時(shí)間，philip決定安排部門對(duì)整個(gè)移動(dòng)電商系統(tǒng)展開安全加固工作。系/統(tǒng)/運(yùn)/維/技/術(shù)項(xiàng)目4移動(dòng)電商安全運(yùn)維

任務(wù)一：服務(wù)器安全管理講師：教學(xué)目標(biāo)任務(wù)描述賬戶安全是系統(tǒng)安全的第一道屏障，也是系統(tǒng)安全的核心，保障登錄賬戶的安全，在一定程度上可以提高服務(wù)器的安全級(jí)別。本節(jié)任務(wù)重點(diǎn)介紹Linux系統(tǒng)登錄賬戶的安全設(shè)置方法，文件系統(tǒng)安全的設(shè)置，對(duì)入侵檢測(cè)的分析以及在遭遇攻擊過(guò)程中的處理辦法。賬戶登錄、遠(yuǎn)程訪問(wèn)和認(rèn)證安全賬戶和登錄安全刪減系統(tǒng)登錄歡迎信息遠(yuǎn)程訪問(wèn)和認(rèn)證安全關(guān)閉系統(tǒng)不需要的服務(wù)密碼安全策略合理使用su、sudo命令刪除特殊的賬戶和賬戶組遠(yuǎn)程登錄取消telnet而采用SSH方式合理使用Shell歷史命令記錄功能啟用tcp_wrappers防火墻文件系統(tǒng)安全鎖定系統(tǒng)重要文件，在Linux下鎖定文件的命令是chattr，通過(guò)這個(gè)命令可以修改ext2、ext3、ext4文件系統(tǒng)下文件屬性。文件權(quán)限檢查和修改查找系統(tǒng)中任何用戶都有寫權(quán)限的文件或目錄查找系統(tǒng)中所有含“s”位的程序檢查系統(tǒng)中所有suid及sgid文件/tmp、/var/tmp、/dev/shm安全設(shè)定賬戶登錄、遠(yuǎn)程訪問(wèn)和認(rèn)證安全入侵檢測(cè)與分析rootkit后門檢測(cè)工具chkrootkit，RKHunterrootkit是一種木馬后門工具，在Linux系統(tǒng)中最常見，它通過(guò)替換系統(tǒng)文件來(lái)達(dá)到入侵和和隱蔽的目的，這種木馬非常危險(xiǎn)和隱蔽，普通的檢測(cè)工具和檢查手段很難發(fā)現(xiàn)。rootkit攻擊能力極強(qiáng)，對(duì)系統(tǒng)的危害很大，它通過(guò)一套工具來(lái)建立后門和隱藏行跡，從而讓攻擊者獲得權(quán)限，在任何時(shí)候都可以使用root權(quán)限登錄到系統(tǒng)。處理和分析服務(wù)器遭受攻擊入侵的過(guò)程處理服務(wù)器遭受攻擊的一般思路：

1.切斷網(wǎng)絡(luò)2.查找攻擊源3.分析入侵原因和途徑4.備份用戶數(shù)據(jù)5.重新安裝系統(tǒng)6.修復(fù)程序或系統(tǒng)漏洞7.恢復(fù)數(shù)據(jù)和連接網(wǎng)絡(luò)8.檢查并鎖定可疑用戶

9.查看系統(tǒng)日志10.檢查并關(guān)閉系統(tǒng)可疑進(jìn)程11.重新安裝系統(tǒng)恢復(fù)數(shù)據(jù)課程小結(jié)12文件系統(tǒng)安全：對(duì)系統(tǒng)文件的鎖定，對(duì)文件權(quán)限檢查和修改。如何處理和分析服務(wù)器遭受攻擊入侵。Linux系統(tǒng)登錄賬戶的安全設(shè)置方法，遠(yuǎn)程訪問(wèn)和認(rèn)證安全設(shè)置。34后門入侵檢測(cè)與分析：2款rootkit后門檢測(cè)工具chkrootkit、RKHunter的使用。課堂作業(yè)1

、CentOS6.5忘記密碼如何恢復(fù)？2、Centos6.5如何查看內(nèi)核版本，內(nèi)核源碼？系/統(tǒng)/運(yùn)/維/技/術(shù)項(xiàng)目5

移動(dòng)電商安全運(yùn)維任務(wù)二：網(wǎng)絡(luò)安全管理講師：教學(xué)目標(biāo)任務(wù)描述

網(wǎng)絡(luò)安全管理是運(yùn)維中一項(xiàng)很重要的工作，在看似平靜的網(wǎng)絡(luò)運(yùn)行中，其實(shí)暗流洶涌，要保證業(yè)務(wù)系統(tǒng)穩(wěn)定的運(yùn)行，網(wǎng)絡(luò)運(yùn)維人員必須要了解網(wǎng)絡(luò)流量狀態(tài)、帶寬的利用率、網(wǎng)絡(luò)瓶頸等。同時(shí)當(dāng)網(wǎng)絡(luò)發(fā)生故障時(shí)，能及時(shí)發(fā)現(xiàn)問(wèn)題，并能迅速定位問(wèn)題源和解決問(wèn)題，這就需要借助一些網(wǎng)絡(luò)工具，本節(jié)任務(wù)將介紹流量監(jiān)測(cè)工具iftop、網(wǎng)絡(luò)流量分析工具Notp和Notpng、網(wǎng)絡(luò)性能評(píng)估工具Iperf、網(wǎng)絡(luò)探測(cè)和安全審核工具nmap的使用。網(wǎng)絡(luò)安全管理iftop能做什么？iftop是一款免費(fèi)的網(wǎng)卡實(shí)時(shí)流量監(jiān)控工具。iftop可以監(jiān)控指定網(wǎng)卡的實(shí)時(shí)流量、端口連接信息、反向解析

IP等，還可以精確顯示本機(jī)網(wǎng)絡(luò)流量情況及網(wǎng)絡(luò)內(nèi)各主機(jī)與本機(jī)相互通信的流量集合，非常適合于監(jiān)控代理服務(wù)器或路由器的網(wǎng)絡(luò)流量。同時(shí)，iftop對(duì)檢測(cè)流量異常的主機(jī)非常有效，通過(guò)iftop的輸出可以迅速定位主機(jī)流量異常的根源，這對(duì)于網(wǎng)絡(luò)故障排查、網(wǎng)絡(luò)安全檢測(cè)是十分有用的。iftop的安裝源碼編譯安裝iftopiftop常用參數(shù)說(shuō)明參數(shù)含義示例-i指定需要監(jiān)測(cè)的網(wǎng)卡iftop–iem1-n將輸出的主機(jī)信息都通過(guò)IP顯示，不進(jìn)行DNS反向解析iftop-n-B將輸出以bytes為單位顯示網(wǎng)卡流量，默認(rèn)是bitsiftop–B-p以混雜模式運(yùn)行iftop，此時(shí)iftop可以作為網(wǎng)絡(luò)嗅探器使用iftop–p-N只顯示連接端口號(hào)，不顯示端口對(duì)應(yīng)的服務(wù)名稱iftop–N-P顯示主機(jī)以及端口信息，這個(gè)參數(shù)非常有用iftop–P-F顯示特定網(wǎng)段的網(wǎng)卡進(jìn)出流量iftop–F/24-m設(shè)置iftop輸出界面中最上面的流量刻度最大值，流量刻度，分五個(gè)大段顯示iftop–m網(wǎng)絡(luò)安全管理網(wǎng)絡(luò)流量監(jiān)控與分析工具

Ntop和

Ntopng參數(shù)含義-G指定存儲(chǔ)ntopng進(jìn)程號(hào)的文件路徑。--local-network指定要監(jiān)控的本地子網(wǎng)段。--interfaceem2指定監(jiān)聽em2網(wǎng)卡上的流量。--user指定運(yùn)行ntopng服務(wù)所使用的賬戶。--httpport指定ntopng的Web服務(wù)端口號(hào)，如果不指定，默認(rèn)端口為3000。ntopng.conf文件的參數(shù)含義Notp主要提供以下幾個(gè)功能:自動(dòng)從網(wǎng)絡(luò)中獲取有用的信息。將獲取的數(shù)據(jù)包信息轉(zhuǎn)換為可識(shí)別的格式記錄網(wǎng)絡(luò)的通信時(shí)間和過(guò)程。對(duì)網(wǎng)絡(luò)中失敗的通信進(jìn)行分析。發(fā)現(xiàn)網(wǎng)絡(luò)環(huán)境中通信的瓶頸。自動(dòng)識(shí)別客戶端正在使用的操作系統(tǒng)。Notpng除了可以實(shí)現(xiàn)Notp的所有功能外，新增的功能如下：以圖形的方式動(dòng)態(tài)展示流量狀態(tài)。實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)并實(shí)時(shí)匯總。以矩陣圖的方式顯示IP流量?？梢陨苫贖TML5/AJAX的網(wǎng)絡(luò)流量統(tǒng)計(jì)。安裝

Ntop與

Ntopng源碼安裝NtopNtopng網(wǎng)絡(luò)安全管理Iperf能做什么?Iperf是一款的網(wǎng)絡(luò)性能測(cè)試工具，它基于TCP/IP和UDP/IP協(xié)議。它可以用來(lái)測(cè)量網(wǎng)絡(luò)帶寬和網(wǎng)信息了解并判斷網(wǎng)絡(luò)性能問(wèn)題，從而定位網(wǎng)絡(luò)瓶頸，解決網(wǎng)絡(luò)故障。Iperf的安裝與使用源碼安裝1.測(cè)試

TCP吞吐量2.測(cè)試

UDP丟包和延遲網(wǎng)絡(luò)探測(cè)和安全審核工具nmapnmap是一款開源免費(fèi)的網(wǎng)絡(luò)發(fā)現(xiàn)工具，可以找到網(wǎng)絡(luò)上在線的主機(jī),并測(cè)試主機(jī)上哪些端口處于監(jiān)聽狀態(tài)，接著通過(guò)端口確定主機(jī)上運(yùn)行的應(yīng)用程序類型與版本信息，偵測(cè)出操作系統(tǒng)的類型和版本nmap的安裝和使用1.源碼編譯安裝2.rpm包安裝使用：1.主機(jī)發(fā)現(xiàn)掃描2.探測(cè)主機(jī)的信息3.端口掃描5.版本偵測(cè)4.操作系統(tǒng)偵測(cè)課程小結(jié)12網(wǎng)絡(luò)流量分析：網(wǎng)絡(luò)流量分析工具Notp和Notpng的部署和使用。網(wǎng)絡(luò)性能評(píng)估：網(wǎng)絡(luò)性能評(píng)估工具Iperf部署和使用。網(wǎng)絡(luò)安全審核：安全審核工具nmap的部署和使用。網(wǎng)絡(luò)實(shí)時(shí)流量監(jiān)測(cè)：量監(jiān)測(cè)工具iftop部署和使用。34系/統(tǒng)/運(yùn)/維/技/術(shù)項(xiàng)目4

移動(dòng)電商安全運(yùn)維講師：系/統(tǒng)/運(yùn)/維/技/術(shù)項(xiàng)目5移動(dòng)電商安全運(yùn)維任務(wù)三：數(shù)據(jù)備份與恢復(fù)管理講師：教學(xué)目標(biāo)任務(wù)描述隨著電商系統(tǒng)的運(yùn)行，數(shù)據(jù)量在不斷的增多，但造成數(shù)據(jù)丟失和毀壞的因素也隨之增加。這包括數(shù)據(jù)處理和訪問(wèn)軟件平臺(tái)故障、系統(tǒng)的硬件故障、人為的操作失誤、網(wǎng)絡(luò)內(nèi)非法訪問(wèn)者的惡意破壞、網(wǎng)絡(luò)供電系統(tǒng)故障等。那么如何保障系統(tǒng)數(shù)據(jù)安全？為了保障移動(dòng)電商系統(tǒng)正常運(yùn)行，應(yīng)當(dāng)采取先進(jìn)、有效的措施，對(duì)數(shù)據(jù)進(jìn)行備份、防范于未然。本小節(jié)將從數(shù)據(jù)備份重要性展開，從分析數(shù)據(jù)備份策略到數(shù)據(jù)備份和恢復(fù)工具的使用進(jìn)行講解。數(shù)據(jù)恢復(fù)extundelete是基于Linux的一個(gè)數(shù)據(jù)恢復(fù)工具，它通過(guò)分析文件系統(tǒng)的日志，解析出所有文件的inode信息，從而可以恢復(fù)Linux下主流的ext3,ext4文件系統(tǒng)下被誤刪除的文件。安裝extundelete可通過(guò)yum在線安裝方式安裝，也可通過(guò)源碼包編譯安裝。extundelete用法選項(xiàng)含義--version,-[vV]顯示軟件版本號(hào)。--help顯示軟件幫助信息。--superblock顯示超級(jí)塊信息。--journal顯示日志信息。--afterdtime時(shí)間參數(shù)，表示在某段時(shí)間之后被刪的文件或目錄。--beforedtime時(shí)間參數(shù)，表示在某段時(shí)間之前被刪的文件或目錄。--blockblk顯示數(shù)據(jù)塊“blk”的信息。--restore-inodeino[,ino,...]恢復(fù)命令參數(shù)，表示恢復(fù)節(jié)點(diǎn)“ino”的文件，恢復(fù)的文件會(huì)自動(dòng)放在當(dāng)前目錄RESTORED_FILES文件夾中，使用節(jié)點(diǎn)編號(hào)作為擴(kuò)展名。--restore-file'path'恢復(fù)命令參數(shù)，表示將恢復(fù)指定路徑的文件，把恢復(fù)文件放在當(dāng)前目錄下RECOVERED_FILES目錄中。--restore-all恢復(fù)命令參數(shù)，表示將嘗試恢復(fù)所有目錄和文件。-Bblocksize通過(guò)指定數(shù)據(jù)塊大小來(lái)打開文件系統(tǒng)，一般用于查看已經(jīng)知道大小的文件。extundelete用法選項(xiàng)參數(shù)1.通過(guò)extundelete恢復(fù)單個(gè)文件2.卸載磁盤分區(qū)3.查詢可恢復(fù)的數(shù)據(jù)信息4.恢復(fù)單個(gè)文件5.通過(guò)extundelete恢復(fù)所有誤刪除數(shù)據(jù)6.通過(guò)extundelete恢復(fù)某個(gè)時(shí)間段的數(shù)據(jù)課程小結(jié)12解數(shù)據(jù)備份的重要性以及數(shù)據(jù)備份策略。數(shù)據(jù)備份軟件DRBD的安裝配置及使用。3數(shù)據(jù)恢復(fù)工具extundelete的安裝配置及使用。課堂作業(yè)通過(guò)DRBD備份NFS所在服務(wù)器的磁盤及文件項(xiàng)目小結(jié)拓展訓(xùn)練安裝tcpdump，抓取網(wǎng)絡(luò)數(shù)據(jù)包，分析數(shù)據(jù)包的詳細(xì)信息。部署DRBD，采用單主模式，實(shí)現(xiàn)數(shù)據(jù)存儲(chǔ)備份。

安裝tcpdump,部署DRBD需要包括以下關(guān)鍵操作：采用Yum的方法安裝tcpdump。了解tcpdump參數(shù)并抓包分析數(shù)據(jù)包。理解DRBD實(shí)現(xiàn)數(shù)據(jù)鏡像的幾種方式。安裝DRBD并配置系/統(tǒng)/運(yùn)/維/技/術(shù)項(xiàng)目4

移動(dòng)電商安全運(yùn)維講師：系/統(tǒng)/運(yùn)/維/技/術(shù)項(xiàng)目5移動(dòng)電商安全運(yùn)維任務(wù)三：數(shù)據(jù)備份與恢復(fù)管理講師：教學(xué)目標(biāo)任務(wù)描述隨著電商系統(tǒng)的運(yùn)行，數(shù)據(jù)量在不斷的增多，但造成數(shù)據(jù)丟失和毀壞的因素也隨之增加。這包括數(shù)據(jù)處理和訪問(wèn)軟件平臺(tái)故障、系統(tǒng)的硬件故障、人為的操作失誤、網(wǎng)絡(luò)內(nèi)非法訪問(wèn)者的惡意破壞、網(wǎng)絡(luò)供電系統(tǒng)故障等。那么如何保障系統(tǒng)數(shù)據(jù)安全？為了保障移動(dòng)電商系統(tǒng)正常運(yùn)行，應(yīng)當(dāng)采取先進(jìn)、有效的措施，對(duì)數(shù)據(jù)進(jìn)行備份、防范于未然。本小節(jié)將從數(shù)據(jù)備份重要性展開，從分析數(shù)據(jù)備份策略到數(shù)據(jù)備份和恢復(fù)工具的使用進(jìn)行講解。數(shù)據(jù)備份數(shù)據(jù)備份的重要性備份是系統(tǒng)中需要考慮的最重要的事項(xiàng),雖然這在系統(tǒng)的整個(gè)規(guī)劃,開發(fā)和測(cè)試過(guò)程中甚至占不到1%,看似不太重要且默默無(wú)聞的工作只有到恢復(fù)的時(shí)候才能真正體現(xiàn)出其重要性,任何數(shù)據(jù)的丟失與數(shù)據(jù)宕機(jī),都是不可以被接收的。數(shù)據(jù)備份策略完全備份：拷貝給定計(jì)算機(jī)或文件系統(tǒng)上的所有文件，而不管它是否被改變。增量備份：只備份在上一次備份后增加、改動(dòng)的部分?jǐn)?shù)據(jù)。增量備份可分為多級(jí)，每一次增量都源自上一次備份后的改動(dòng)部分。差異備份：只備份在上一次完全備份后有變化的部分?jǐn)?shù)據(jù)。如果只存在兩次備份，則增量備份和差異備份內(nèi)容一樣。累加備份：采用數(shù)據(jù)庫(kù)的管理方式，記錄累積每個(gè)時(shí)間點(diǎn)的變化，并把變化后的值備份到相應(yīng)的數(shù)組中，這種備份方式可恢復(fù)到指定點(diǎn)的時(shí)間點(diǎn)。數(shù)據(jù)鏡像軟件DRBD介紹數(shù)據(jù)鏡像軟件DRBD介紹分布式塊設(shè)備復(fù)制（DistributedReplicatedBlockDevice，DRBD），是一種基于軟件的、基于網(wǎng)絡(luò)的塊復(fù)制存儲(chǔ)解決方案。DRBD的核心功能就是數(shù)據(jù)的鏡像，實(shí)現(xiàn)方式是通過(guò)網(wǎng)絡(luò)來(lái)鏡像整個(gè)磁盤設(shè)備或磁盤分區(qū)，將一個(gè)節(jié)點(diǎn)的數(shù)據(jù)通過(guò)網(wǎng)絡(luò)實(shí)時(shí)地傳送到另一個(gè)遠(yuǎn)程節(jié)點(diǎn)，保證兩個(gè)節(jié)點(diǎn)間數(shù)據(jù)的一致性。DRDB的安裝與配置DRBD的安裝非常簡(jiǎn)單，可以通過(guò)源碼和yum源方式進(jìn)行安裝。默認(rèn)讀取配置文件的路徑是/etc/drbd.confDRBD的基本功能實(shí)時(shí)性透明性同步鏡像異步鏡像DRBD的主要特性單主模式雙主模式復(fù)制模式傳輸完整性校驗(yàn)?zāi)X裂通知和自動(dòng)修復(fù)數(shù)據(jù)恢復(fù)extundelete是基于Linux的一個(gè)數(shù)據(jù)恢復(fù)工具，它通過(guò)分析文件系統(tǒng)的日志，解析出所有文件的inode信息，從而可以恢復(fù)Linux下主流的ext3,ext4文件系統(tǒng)下被誤刪除的文件。安裝extundelete可通過(guò)yum在線安裝方式安裝，也可通過(guò)源碼包編譯安裝。extundelete用法選項(xiàng)含義--version,-[vV]顯示軟件版本號(hào)。--help顯示軟件幫助信息。--superblock顯示超級(jí)塊信息。--journal顯示日志信息。--afterdtime時(shí)間參數(shù)，表示在某段時(shí)間之后被刪的文件或目錄。--beforedtime時(shí)間參數(shù)，表示在某段時(shí)間之前被刪的文件或目錄。--blockblk顯示數(shù)據(jù)塊“blk”的信息。--resto