服务器安全狗Linux版软件安装使用说明
系统快速配置
1、网络接口配置
界面显示系统各个网卡的ip,子网掩码,mac地址,ip设置方式,网卡激活状态等信息,还显示系统的dns服务器(nameserver)设置。
快捷键支持修改网卡的ip获取方式,如果设置手动需要填写ip和掩码信息,网关和dns信息可选填写,同时提供停用网卡,启动网卡等功能。
如果显示值为”??”,表示软件无法探测到该项参数或者该项参数不存在。
[注意]
软件显示的dynamic或static为当前ip的获取方式,仅仅作为参考,可能并不一定是正确的。
2、系统状态配置
界面显示系统的机器名,系统日期和时间,快捷键支持修改系统的机器名,系统中的账号和密码,系统日期和时间。本菜单下每隔二到三秒会自动刷新状态。
系统快速优化
1、 网络优化
icmp echo ignore all 开启或关闭“禁止响应ping包策略”
[验证生效方法]
cat /proc/sys/net/ipv4/icmp_echo_ignore_all
结果为1表示生效,为0表示不生效
[测试方法]
可通过在本机执行命令
ping 127.0.0.1
查看配置前后效果
tcp syncookies 开启或关闭“防范syn flood攻击策略”
[验证生效方法]
执行命令
cat /proc/sys/net/ipv4/tcp_syncookies
结果为1表示生效,为0表示不生效
[测试方法]
暂无
tcptimewaitreuse 开启或关闭“time-wait状态的端口重用”
[验证生效方法]
执行命令
cat /proc/sys/net/ipv4/tcp_tw_reuse
结果为1表示生效,为0表示不生效
[测试方法]
暂无
2、 进程资源优化
shmmax 设置单个共享内存段的最大值,单位为byte
[验证生效方法]
执行命令
cat /proc/sys/kernel/shmmax
[测试方法]
使用以下命令
ipcmk
shmall 全部允许使用的共享内存大小,单位为页面
[验证生效方法]
执行命令
cat /proc/sys/kernel/shmall
[测试方法]
使用以下命令
ipcmk
shmmni 系统范围内共享内存段的最大数量
[验证生效方法]
执行命令
cat /proc/sys/kernel/shmmni
[测试方法]
使用以下命令
ipcmk
threadsmax 系统最大线程数
[验证生效方法]
执行命令
cat /proc/sys/kernel/threads-max
[测试方法]
暂无
filemax 分配给进程的最大文件描述符数目
[验证生效方法]
执行命令
cat /proc/sys/kernel/file-max
[测试方法]
暂无
系统实时监控
1、 文件监控
monit toggle 文件监视器开关
file list 监视的文件列表
[测试方法]
设置完文件列表后,再开启监视器开关,可以使用如下命令查看报告文件
tail -f /etc/safedog/monitor/filemonit.txt
对文件列表中的文件或文件夹进行的生成、修改、删除会马上反应到报告文件中,
对文件列表中的文件夹内的文件或一级文件夹进行的生成、修改、删除也会马上反应到报告文件中。
[注意]
不会递归监控到子目录里面,并且当文件名列表为空时无法启动监视器。
2、 进程监控
monit toggle 进程监视器开关
process list 监视的进程名(必须包括运行参数)列表
[测试方法]
设置完进程名列表后,再开启监视器开关,可以使用如下命令查看报告文件
tail -f /etc/safedog/monitor/processmonit.txt
使用命令
top或ps aux
能够看到进程是否正在运行,一旦进程结束或被kill,监视器会马上重启进程。
比如设置进程名列表为
/bin/sleep 5
/bin/sleep 15
可以看到,进程中将一直有这两个进程在运行,只要一结束,马上就会被重启。
注意当进程名列表为空时,无法启动监视器。
[注意]
本功能只适用于监控可以通过一条命令启动的守护进程,本功能正确的使用方法是,初始时不要启动要监控的服务,通过添加要监控的进程启动命令,让安全狗自动启动被监控的进程,否则可能因为启动过程不同导致安全狗无法匹配出进程列表中的进程名。(比如要监控vsftpd进程,如果用户添加的监控内容为”vsftpd &”,但是用户在此之前通过命令service vsftpd start启动了vsftpd的命令就会出错。)
3、 cpu监控
monit toggle cpu使用率监视器开关
cpu ceil cpu使用率监视上限(高于该值写入报告)
cpu floor cpu使用率监视下限(低于该值写入报告)
[测试方法]
设置完监视范围后,再开启监视器开关,可以使用如下命令查看报告文件
tail -f /etc/safedog/monitor/cpumonit.txt
4、 内存监控
monit toggle 内存使用率监视器开关
memory use ceil 内存使用率监视上限(高于该值写入报告)
同时显示系统当前内存使用量和空闲量
[测试方法]
设置完监视范围后,再开启监视器开关,可以使用如下命令查看报告文件
tail -f /etc/safedog/monitor/memorymonit.txt
5、 磁盘容量监控
partition 监视的磁盘分区,比如/dev/sda1
ceil 监视的磁盘容量的上限(高于该值写入报告)
floor 监视的磁盘容量的下限(低于该值写入报告)
interval 监视的磁盘容量的报告间隔值(增减量大于该值时写入报告)
[测试方法]
设置完监视范围后,再开启监视器开关,可以使用如下命令查看报告文件
tail -f /etc/safedog/monitor/ diskvolumemonit.txt
6、 文件备份
file 需要备份的文件绝对路径
backup directory 存方向备份文件的目标目录
backup size 监视的文件大小超过此值时,文件将被压缩备份到备份目录,同时清空原文件
[测试方法]
设置完监视路径和备份后,再开启监视器开关,当文件大小超过设定值时,可以检查备份的目标目录和所监视的文件内容。
7、 tcp监听端口
显示当前系统中正在监听的tcp端口及相应的地址、进程id和进程名字。
应用程序设置
1、 iptables
显示iptables的当前规则集列表以及规则链的默认策略(policy)。
可以对iptables中的input链或output链添加一些简单的规则,包括协议类型(tcp/udp),源地址,源端口,目的地址,目的端口,行为等。
[测试方法]
通过软件添加相应规则后测试通过网络测试相应规则是否生效。
[注意]
通过本软件对iptables的设置在重启后丢失。
2、 vsftpd
对系统中已安装未配置过的vsftpd进行一些简单的配置。
anonym enable 是否允许匿名用户登录
anonym upload 是否允许匿名用户上传权限
anonym make directory 是否允许匿名用户建立文件夹权限
anonym root path 匿名用户的根目录路径
local user enable 是否允许本地用户登录
write enable 是否允许写权限,些开关影响所有需要用到写权限的操作
ftp start 启动停止ftp服务
ftp restore default 初化或恢复甩的默认配置,第一次进入时必须先进行初始化
[测试方法]
配置完成后启动vsftpd,然后通过网络访问本机的ftpd服务器测试配置项是否生效。
在浏览器上输入
ftp://服务器ip/
访问ftp服务器
[注意]
本软件只能对vsftpd进行简单的配置,如果需要更加复杂的设置,请直接参考vsftpd手册编辑配置文件。使用本功能时,必须先启动一次” ftp restore default”功能,对配置进行初始化,初始化以后,vsftpd之前的配置信息会丢失,同时,匿名用户的根目录设置到了/srv/ftp,同时/srv/ftp/upload目录是匿名用户的上传目录。通过软件也可以重新修改相关设置。通过软件配置完毕后,要使用配置生效,需要在软件界面上的” ftp start”中先关闭服务再重新打开服务(即重启服务)。
3、 samba
对系统中已安装未配置过的samba进行一些简单的配置。
share directory path 共享文件夹的路径
share write enable 共享文件夹的匿名写权限
samba start 启动停止共享
samba restore default 初始化配置文件,第一次进入时必须先进行初始化
[测试方法]
配置完成后启动samba,然后通过网络访问本机的samba共享文件夹测试配置项是否生效。
在浏览器上输入
\\服务器ip\
访问samba共享服务器
[注意]
参考vsftpd的注意事项。
软件卸载
在之前的解压出来的safedog_1.0.0.tar.gz目录下执行命令:
./uninstall.sh
即可。