用心将技术和服务遍布全中国
一切都是为了价值无法衡量的数据!



Linux系统安全攻防实战——从入侵排查到加固及备份的全方位指南

2024-08-16 09:31:09 1650 编辑:91数据恢复专家 来源:本站原创
aq691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D
深度揭秘:Linux系统安全攻防实战——从入侵排查到加固及备份的全方位指南1 账号安全1.1 查看特权用户1.2 查询可登录用户1.3 查看sudo权限用户1.4 查看当前登录用户1.5 禁用或删除多余账号1.5.1 禁用账号1.5.2 删除账号及家目录2 历史记录2.1 查看当前用户历史命令2.2 查看指定用户历史命令2.3 修改历史记录保存数量3 端口与进程3.1 查看端口连接情况3.1.1 确认没有未授权的网络连接3.1.2 分析可疑端口、IP和PID3.2 查看进程信息3.3 查找进程对应的执行文件4 开机启动项与定时任务4.1 查看开机启动项4.2 查看定时任务4.2.1 查看crontab4.2.2 编辑crontab4.2.3 删除crontab4.2.4 查看crontab相关详细内容5 系统日志5.1 查看系统日志5.1.1 SSH登录日志5.1.1.1 CentOS/RHEL系统5.1.1.2 Debian/Ubuntu系统5.1.2 系统核心和服务日志5.1.3 系统活动记录日志5.2 分析日志内容6 文件分析6.1 检查敏感目录6.2 检查文件属性6.3 查找隐藏文件6.4 检查系统完整性6.4.1 CentOS/RHEL系统6.4.2 Debian/Ubuntu系统7 rootkit检测7.1 chkrootkit7.1.1 安装编译工具包7.1.2 安装Chkrootkit7.1.3 使用Chkrootkit进行检查7.1.3.1 全局检查7.1.3.2 筛选检查7.2 rkhunter7.2.1 CentOS/RHEL系统7.2.2 Debian/Ubuntu系统7.3 Lynis7.3.1 CentOS/RHEL系统7.3.2 Debian/Ubuntu系统8 加固系统安全性8.1 更新和补丁8.1.1 CentOS/RHEL系统8.1.2 Debian/Ubuntu系统8.2. 防火墙配置8.2.1 CentOS/RHEL系统8.2.2 Debian/Ubuntu系统8.3 SELinux8.3.1 检查SELinux其状态8.3.2 临时启用SELinux8.3.3 永久启用SELinux8.4 审计和监控8.4.1 安装auditd和fail2ban8.4.1.1 CentOS/RHEL系统 8.4.1.2 Debian/Ubuntu系统  8.4.2 启动fail2ban8.5 最小化服务8.6 访问控制8.7 定期备份8.7.1 系统配置文件备份8.7.2 用户数据备份8.7.3 数据库备份8.7.4 引导加载器和分区表8.7.5 特殊文件和设备8.7.6 如何备份

 aq691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

深度揭秘:Linux系统安全攻防实战——从入侵排查到加固及备份的全方位指南

在Linux系统中,安全入侵排查是确保系统稳定性和数据安全的重要步骤。本文将详细介绍Linux系统安全入侵排查的方法,包括检查命令及说明,帮助系统管理员及时发现并应对潜在的安全威胁。aq691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

1 账号安全

1.1 查看特权用户

特权用户(UID为0的用户)是系统中最危险的角色,需要重点排查。aq691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

# awk -F: '{if($3==0)print $1}' /etc/passwd

1.2 查询可登录用户

查看能够登录的用户,特别是远程登录的用户。aq691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

# cat /etc/passwd | grep /bin/bash
# awk '/\$1|\$6/{print $1}' /etc/shadow

1.3 查看sudo权限用户

检查除root外,哪些用户拥有sudo权限。aq691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

# cat /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)"

1.4 查看当前登录用户

# who
# w

1.5 禁用或删除多余账号

1.5.1 禁用账号
# usermod -L [username]
1.5.2 删除账号及家目录
# userdel -r [username]

2 历史记录

2.1 查看当前用户历史命令

# history

2.2 查看指定用户历史命令

# cat /home/username/.bash_history

2.3 修改历史记录保存数量

# sed -i 's/^HISTSIZE=1000/HISTSIZE=10000/g' /etc/profile

3 端口与进程

3.1 查看端口连接情况

使用netstatss命令查看端口连接情况,分析可疑端口、IP和PID。aq691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

3.1.1 确认没有未授权的网络连接
# netstat -antup | grep LISTEN

显示所有监听状态的网络连接,检查是否有未知的监听端口。aq691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

或者aq691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

# ss -antup

类似于netstat,但通常输出更简洁,同样用于检查监听的网络连接。aq691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

3.1.2 分析可疑端口、IP和PID
# lsof -i :[Port]
# lsof -p [PID]

3.2 查看进程信息

使用ps命令查看进程信息,结合grep命令查找可疑进程。aq691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

# ps aux | grep [进程名或PID]

3.3 查找进程对应的执行文件

# ls -l /proc/[PID]/exe

4 开机启动项与定时任务

4.1 查看开机启动项

检查/etc/rc.local/etc/rc.d/rc[0~6].d等目录下的脚本文件。aq691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

# systemctl list-unit-files --type=service | grep enabled  
# chkconfig --list

4.2 查看定时任务

检查crontabanacron的定时任务。aq691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

4.2.1 查看crontab
# crontab [-u username] -l
4.2.2 编辑crontab
# crontab [-u username] -e
4.2.3 删除crontab
# crontab [-u username] -r
4.2.4 查看crontab相关详细内容
# cat /etc/crontab
# cat /etc/cron.d/*
# cat /etc/anacrontab
# cat /var/spool/anacron/*

5 系统日志

5.1 查看系统日志

系统日志是追踪入侵者活动的重要线索。aq691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

5.1.1 SSH登录日志
5.1.1.1 CentOS/RHEL系统
# cat /var/log/secure
5.1.1.2 Debian/Ubuntu系统
# cat /var/log/auth.log
5.1.2 系统核心和服务日志
# cat /var/log/syslog
5.1.3 系统活动记录日志

包括应用程序和其他系统程序的输出。‌aq691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

# cat /var/log/messages

5.2 分析日志内容

使用grep等工具分析日志内容,查找可疑的登录尝试、命令执行等。aq691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

# grep "Failed password" /var/log/secure
# grep "Accepted password" /var/log/secure

6 文件分析

6.1 检查敏感目录

使用find命令检查敏感目录中的文件,如/opt/var/log等。aq691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

比如查找一天内被访问的文件:aq691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

# find /opt -type f -atime -1

6.2 检查文件属性

使用stat命令查看文件的创建、修改和访问时间。aq691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

# stat /path/file

6.3 查找隐藏文件

注意检查以.开头的隐藏文件。aq691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

# find / -type f -name ".*"

6.4 检查系统完整性

确认系统文件没有被篡改。aq691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

6.4.1 CentOS/RHEL系统

对于RPM包管理的系统,检查所有包的完整性和校验和。aq691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

# rpm -Va
6.4.2 Debian/Ubuntu系统

对于Debian/Ubuntu系统,检查所有包的完整性。aq691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

# dpkg --verify

7 rootkit检测

Rootkit是黑客用来隐藏自身踪迹和恶意活动的工具,它们能够深入操作系统的底层,甚至修改内核来逃避检测。以下是几种常用的rootkit检测工具:aq691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

7.1 chkrootkit

chkrootkit是一款流行的rootkit检测工具,它能够检查系统中是否存在多种rootkit的迹象。aq691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

7.1.1 安装编译工具包
# yum install gcc gcc-c++ make -y
# yum install glibc-static -y
7.1.2 安装Chkrootkit
  1. 下载软件包aq691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

# wget https://src.fedoraproject.org/repo/pkgs/chkrootkit/chkrootkit-0.57.tar.gz/sha512/ff35f01042bc68bdd10c4e26dbde7af7127768442c7a10f114260188dcc7e357e2c48d157c0b83b99e2fd465db3ed3933c84ae12fa411c5c28f64b955e742ff7/chkrootkit-0.57.tar.gz
  1. 解压软件包aq691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

# tar zxvf chkrootkit-0.57.tar.gz
  1. 进入目录aq691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

# cd chkrootkit-0.57
  1. 安装程序aq691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

# make sense
  1. 拷贝到安装目录aq691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

# cp ./chkrootkit /usr/local/bin/
7.1.3 使用Chkrootkit进行检查
7.1.3.1 全局检查
# chkrootkit

检查结果如果出现了INFECTED,则说明检测出系统后门。aq691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

7.1.3.2 筛选检查
# chkrootkit | grep INFECTED

检查结果若正常,则不会返回结果,有返回结果则说明检测出系统后门。aq691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

7.2 rkhunter

rkhunter是另一个强大的rootkit检测工具,它不仅能检测rootkit,还能检测其他类型的恶意软件。aq691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

7.2.1 CentOS/RHEL系统
# yum install epel-release -y
# yum install rkhunter -y
# rkhunter --checkall
7.2.2 Debian/Ubuntu系统
# apt-get install epel-release -y
# apt-get install rkhunter -y
# rkhunter --checkall

7.3 Lynis

虽然Lynis主要是一个系统安全审计工具,但它也包含了一些rootkit检测功能。aq691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

7.3.1 CentOS/RHEL系统
# yum install lynis -y
# lynis audit system
7.3.2 Debian/Ubuntu系统
# apt-get install lynis -y
# lynis audit system

8 加固系统安全性

8.1 更新和补丁

保持系统和所有软件的最新状态,及时应用安全补丁。aq691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

8.1.1 CentOS/RHEL系统
# yum update -y
8.1.2 Debian/Ubuntu系统
# apt-get update && apt-get upgrade -y

8.2. 防火墙配置

配置防火墙以限制不必要的网络访问。aq691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

8.2.1 CentOS/RHEL系统
# firewall-cmd --permanent --zone=public --add-service=http
# firewall-cmd --reload
8.2.2 Debian/Ubuntu系统
# ufw enable

8.3 SELinux

启用并配置SELinux(Security-Enhanced Linux),以增加系统的访问控制安全性。aq691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

对于使用SELinux的系统,检查其状态。aq691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

8.3.1 检查SELinux其状态
# sestatus

查看SELinux的状态和配置,确认没有被禁用或异常配置。aq691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

8.3.2 临时启用SELinux
# setenforce 1
8.3.3 永久启用SELinux
# sed -i s/SELINUX=disabled/SELINUX=enforcing/g /etc/selinux/config

注意:重启系统后生效。aq691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

8.4 审计和监控

启用系统审计(如auditd)和实时监控(如fail2ban),以检测并记录可疑活动。aq691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

8.4.1 安装auditd和fail2ban
8.4.1.1 CentOS/RHEL系统
# yum install audit -y
# yum install fail2ban -y
8.4.1.2 Debian/Ubuntu系统  
# apt-get install audit -y
# apt-get install fail2ban -y
8.4.2 启动fail2ban
# systemctl start fail2ban 
# systemctl enable fail2ban

8.5 最小化服务

关闭不必要的服务和守护进程,减少潜在的攻击面。aq691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

# systemctl disable [服务名]  
# systemctl stop [服务名]

8.6 访问控制

确保对系统文件和目录的访问控制是恰当的,使用最小权限原则。aq691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

赋予用户相关账号文件最小权限aq691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

# chmod 644 /etc/passwd 
# chmod 400 /etc/shadow 
# chmod 644 /etc/group
# chmod 644 /etc/services
# chmod 600 /etc/xinetd.conf
# chmod 600 /etc/security

8.7 定期备份

定期备份系统数据和配置文件,以便在遭受攻击时能够快速恢复。aq691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

8.7.1 系统配置文件备份
  • /etc/ 目录:包含了大多数的系统配置文件,如网络配置(/etc/network/interfaces 或 /etc/sysconfig/network-scripts/)、用户信息(/etc/passwd/etc/shadow)、系统服务配置(如 Apache 的 /etc/httpd/conf/ 或 Nginx 的 /etc/nginx/)等。aq691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

  • /var/lib/dpkg/status(Debian/Ubuntu系统):记录了已安装的软件包信息。aq691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

  • /var/log/ 目录下的日志文件(可选备份,因为它们可能会迅速增长):虽然日志文件不是配置信息,但它们是诊断问题的重要资源。aq691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

8.7.2 用户数据备份
  • /home/ 目录:包含所有用户的主目录和他们的个人文件。aq691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

  • /var/www/ 或其他Web服务器目录(如果服务器用于Web服务):包含网站数据。aq691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

  • /var/mail/(如果系统作为邮件服务器):包含电子邮件数据。aq691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

8.7.3 数据库备份
  • 数据库文件和数据目录,这取决于你使用的数据库系统(如 MySQL 的 /var/lib/mysql/,PostgreSQL 的 /var/lib/postgresql/ 等)。aq691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

8.7.4 引导加载器和分区表
  • 虽然直接备份这些可能比较复杂,但确保你的引导加载器(如 GRUB)的配置文件(如 /boot/grub/grub.cfg)和分区表(通常通过备份整个 /boot 分区或使用如 dd 的工具备份引导扇区)是恢复系统的关键部分。aq691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

8.7.5 特殊文件和设备
  • /proc 和 /sys 目录是虚拟文件系统,通常不需要备份,因为它们包含了系统运行时的动态信息。aq691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

  • /dev 目录下的设备文件也不需要备份,因为它们在系统启动时由udev重新创建。aq691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

8.7.6 如何备份
  • 使用如 rsynccptar 等命令行工具进行文件级备份。aq691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

  • 使用如 dump 和 restore(针对ext2/ext3/ext4文件系统)或 xfsdump 和 xfsrestore(针对XFS文件系统)等工具进行更底层的备份。aq691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

  • 使用如 Bacula、Amanda、Duplicati 或更简单的 rsync 脚本加 cron 作业来实现自动化定期备份。aq691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

  • 考虑将备份数据存储在外部硬盘、网络附加存储(NAS)、云存储服务等不同位置,以防止本地灾难导致的数据丢失。aq691数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

本站文章均为91数据恢复专业数据团队根据公司业务案例,数据恢复工作中整理发表,部分内容摘自权威资料,书籍,或网络原创文章,如有版权纠纷或者违规问题,请即刻联系我们删除,我们欢迎您分享,引用和转载,我们谢绝直接复制和抄袭,感谢!

联络方式:

客服热线:400-1050-918

技术顾问:133-188-44580 166-6622-5144

邮箱:91huifu@91huifu.com

微信公众号
售前工程师1
售前工程师2