服务器安全巡检

        服务器作为承载业务和数据的主体,是企业的重要资产。在网络安全中,服务器的安全一直被认为是整个信息安全领域的最后一道防线,影响因素含单位管理制度不健全、人员运维不规范、操作系统及软件的漏洞无法修复或未及时修复、配置策略宽松等等。在日常使用及重点保障时期,服务器都需要进行安全巡检,以下是针对服务器安全层面的巡检项,实际安全巡检工作还应根据网络架构,结合网络设备、安全设备进行全方位巡检。

一、文件排查:是否存在攻击者留下的异常文件、关键系统文件,以此判断业务主机是否被入侵!
        Windows
            运行msconfig-任务管理器-查看自启动项是否正常,或右击任务栏也可查看
            进C:\Windwos\查看Temp或tmp目录是否存在异常文件,重点查看.exe
            我的电脑打开最近文件夹,检查近期修改的文件是否有未知异常文件
        Linux
            查看/tmp、/usr/bin、/usr/sbin是否存在异常文件,重点看可执行脚本如.sh
            开启启动项是否异常:ls -alt /etc/init.d/
            进入特定目录-按最近时间排序-确认文件是否恶意改动,
                先进入目录/bin、/sbin、/usr/bin、/usr/sbin
                ls -alt | head -n 10
            查看用户历史命令是否正常:cat /root/.bash_history
            是否存在非法用户(异常用户一般nologin结尾,为不可登录用户)
                cat /etc/passwd
二、进程排查:是否存在异常进程,以此判断是否植入木马、后门!
        Windows
            查看是否有异常连接端口,PID,系统自带网络连接分析工具 netstat
                netstat -ano
            根据PID看进程,得出详细进程名称
                tasklist | findstr 3816
            根据进程名称差看进程所在全路径
                wmic process | findstr WeChat.exe
        Linux
            top命令实时查看是否有异常进程占用大量CPU、内存
                CPU实际使用率=显示使用率/核数    
            确认是否存在可疑的监听端口
                netstat -antlp | more
            如果前面两个步骤发现异常程序,可根据PID查看详情
                ps -aux | grep 16688
三、系统信息排查:环境变量、定时任务,以此判断攻击者是否添加变量及任务!
        Windows
            我的电脑-属性-高级系统设置-高级-环境变量
                查看Temp或tmp值是否为C:\Windows\Temp
                用户变量“Path”是否添加了非法路径
            计算机管理-系统工具-任务计划程序
                是否存在非用户自己创建的任务计划程序
            计算机管理-本地用户和组是否存在异常账户、隐藏账户(以$结尾)
            查看用户登录情况(建议日常使用结束后注销账户,否则不好判断)
                query user
        Linux
            确认定时任务是否正常
                crontab -l
            开机自动执行的rc.local文件是否正常(是否含异常任务)
                cat /etc/rc.local
            所有用户最近一次登录系统时间
                lastlog
            查看环境变量,是否存在非法路径、风险路径
                echo $PATH
    日志分析:分析是否登录或攻击痕迹,同时用于溯源和取证;还可用于信息记录、故障定位、故障分析、攻击溯源!
        日志类型
            安全设备:源IP、攻击特征、是否拦截
            操作系统:系统整体信息、用户登录/授权信息、安全事件信息
            业务系统:业务日志记录访问者IP、请求类型、请求时间
        日志格式
            syslog
                格式:Jan XX XXXX 22:11:45 SC4-S36 %%02 IFNET/6/IF_ENABLE()[43]:
                Interface XGigabitEthernet2/0/0/8 has been down.
            Windows
                计算机管理-事件查看器:系统、安全、设置、应用
                格式:日志名称、日志来源、事件ID、级别、用户、记录时间
            Linux
                /var/log/messages
                    记录系统整体的信息
                /var/log/auth.log
                    记录系统授权信息,包括用户登录和使用的权限机制
                    是否存非运维人员的授权信息
                /var/log/userlog
                    记录所有等级用户信息的相关日志
                /var/log/cron
                    记录crontab命令执行情况的相关日志
                    是否存在异常定时执行程序
                /var/log/vsftpd.log
                    记录Linux FTP应用的相关日志
                /var/log/lastlog
                    记录用户最近一次登录的日志信息,可以使用命令lastlog查看
                /var/log/secure
                    记录大多数应用输入的账号与密码,以及登录成功与否的相关日志,
                    是否存在暴力破解,是否成功
                /var/log/wtmpat/var/log/utmp
                    记录成功登录系统的账户信息
                /var/log/faillog
                    记录未成功登录系统的账号信息
                格式:Jun XXX XXXX 22:22:22 SICO-NHE sudo[263489]: omm : TTY=unknown ; PWD=/opt/data/Bigdata/server 4.0.0.1/0MS/workspace0/ha/module/harm/plugin/script ; USER=nginx ;COMMAND=/var/lib/sudo/Bigdata/sudo/runtime/sudoExecutesh m arping bond0 192.168.1.33

  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
对于 CentOS 服务器安全检查,有一些常见的步骤和注意事项可以参考: 1. 更新系统:确保服务器上安装的 CentOS 系统及相关软件包是最新的,包括安全补丁和更新。 2. 配置防火墙:启用防火墙并配置适当的规则,限制对服务器的访问。常见的防火墙工具包括 firewalld 和 iptables。 3. 禁用不必要的服务:检查服务器上运行的服务,禁用不需要的或不安全的服务,减少攻击面。 4. 强化 SSH 安全:修改 SSH 默认端口,禁用 root 用户远程登录,使用公钥身份验证,限制登录尝试次数等。 5. 安装安全更新和补丁:定期检查并安装操作系统和软件的安全更新和补丁,确保系统保持最新且安全。 6. 使用强密码策略:设置复杂的密码策略要求,包括密码长度、特殊字符、数字和大小写字母的组合。 7. 安全配置 Web 服务器:对于运行 Web 服务器(如 Apache 或 Nginx)的服务器,确保正确配置 SSL/TLS 加密、禁用不必要的模块和默认页面等。 8. 定期备份数据:定期备份服务器上的关键数据,并将备份存储在安全的位置,以防止数据丢失或损坏。 9. 监控和日志记录:启用服务器的监控和日志记录功能,及时发现异常活动并采取相应的安全措施。 10. 安装安全性工具:安装和配置一些常见的安全性工具,如入侵检测系统(IDS)、日志分析工具等。 这些是一些基本的安全检查步骤,你可以根据具体需求和情况进一步加强服务器安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值