在Linux系统中,应急响应和入侵检查是确保系统安全的重要环节。以下是一些关键的检查思路和防御措施:
应急响应–Linux入侵检查思路
-
检查系统用户:
- 使用
cat /etc/passwd
和cat /etc/shadow
命令查看系统用户信息和密码信息,检查是否有异常的用户或空口令帐户。 - 使用
grep "0" /etc/passwd
查看是否产生了新用户,UID和GID为0的用户。 - 使用
ls -l /etc/passwd
查看passwd的修改时间,判断是否在不知的情况下添加用户。
- 使用
-
查看历史命令:
- Linux系统默认会记录用户输入的命令,保存到一个
.bash_history
隐藏文件中,使用ls -al
命令可以查看隐藏文件,使用history
命令可以查看root用户的历史命令。
- Linux系统默认会记录用户输入的命令,保存到一个
-
检查异常端口:
- 使用
netstat -antlp
检查端口,使用ls -l /proc/$PID/exe
查看pid所对应的进程文件路径。
- 使用
-
检查异常进程:
- 使用
ps aux | grep -i "nc|netcat|ncat|nmap|wget|curl"
查找可疑的进程名称,使用top -c4
查看系统资源占用情况。
- 使用
-
计划任务排查:
- 使用
crontab -l
列出某个用户cron服务的详细内容,使用ls /etc/cron.*
列出以cron开头的文件或目录。
- 使用
-
异常文件检查:
- 使用
find / -uid 0 –perm -4000 –print
查找敏感目录下的文件,使用find / -size +10000k –print
查找大文件。
- 使用
-
检查系统日志:
- 使用
/var/log/messages
和/var/log/secure
等日志文件检查异常活动。
- 使用
Linux入侵防御措施
-
保持系统更新:
- 定期更新系统和软件包以修复已知的安全漏洞。
-
使用强密码策略:
- 强制使用复杂密码,并定期更换密码。
-
限制root账户:
- 避免直接使用root账户,创建并使用具有必要权限的普通用户。
-
配置防火墙:
- 使用iptables或firewalld设置防火墙规则,仅开放必要的端口。
-
启用安全加固工具:
- 如SELinux或AppArmor,为系统和应用程序提供额外的访问控制。
通过这些检查思路和防御措施,可以有效地提高Linux系统的安全性,减少被入侵的风险。