本文详细梳理了Linux日志分析中6类安全威胁检测方法,包括用户组/密码重置、账户提权、SSH跳板登录、账号创建删除、审计日志篡改及大量监听端口开启等,通过日志分析来及时发现和防范安全风险。
引言
第一期我们梳理了linux日志中5类常见的安全威胁场景:Linux的iptables被关闭、权限重置、用户的增加/删除/更改的行为审计、指定目录创建/删除/修改文件、linux用户su至root多次失败。本期我们继续梳理linux用户组/密码重置、账户提权、SSH跳板登录、账号短时间内创建删除、删除/修改/移动审计日志、主机开启大量监听端口这6类安全威胁场景,通过日志分析如何有效检测,降低安全威胁隐患。
一、安全威胁如何检测
1. Linux用户组/密码重置
告警发生场景:每一个用户都由一个唯一的身份来标识,这个标识叫做用户ID。系统中的每一个用户也至少需要属于一个"用户分组"。同样,用户分组也是由一个唯一的身份来标识的,该标识叫做用户分组ID(GID)。每位用户的权限可以被定义为普遍用户或者根用户,普通用户只能访问其拥有的或者有权限执行的文件。根用户能够访问系统全部的文件和程序,根用户通常也被称为"超级用户",其权限是系统中最大的,可以执行任何操作。如果非正常授权修改linux用户组或密码,则可能被攻击者修改并控制,后续可能产生敏感文件访问等高风险事件。
攻击方式:攻击者修改/etc/group、/etc/passwd。
检测思路:可以通过人工查看原始的系统日志进行分析,或者通过日志审计工具解析原始日志,分析出有修改/etc/group、/etc/passwd的行为,并通过跟踪该账号后续产生的风险行为,来进行告警。
日志来源:以/var/log/secure日志为例:
Oct 20 14:21:28 root: secisland user=root client=192.168.1.190 54471 22 path=/root command: vi /etc/passwd secislog
Oct 20 14:17:42 root: secisland user=root client=192.168.1.190 54471 22 path=/root command: vi /etc/group secislog人工分析:通过对原始日志进行分析,查找到有修改group或者passwd文件的命令,且重置成功后该账号后续产生其他的风险操作命令(例如访问敏感文件或高危操作),即可判定属于非法操作。
工具分析:通过日志解析出事件类型为vi /etc/group或者vi /etc/passwd,结合账号信息,以及该账号的后续行为(例如访问敏感文件或高危操作)关联分析判定属于安全威胁事件触发告警,避免对合法的用户组/密码重置行为产生误报告警。
最低0.47元/天 解锁文章
扫一扫
576
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
