运维脚本——5.安全审计

构建或优化公司的IT运维体系，特别是安全方面。公司需要了解如何通过安全审计来加强系统安全，满足合规要求，并预防潜在的安全威胁。

必要性

1. 合规性要求

   • 作用：满足法律法规（如GDPR、HIPAA、PCI-DSS）和行业标准，避免罚款或业务受限。

   • 示例：未通过PCI-DSS审计的支付系统可能被禁止处理信用卡交易。

2. 风险识别与缓解

   • 作用：发现系统漏洞、配置错误或权限滥用，防止数据泄露或服务中断。

   • 示例：未审计的开放端口可能成为勒索软件攻击入口。

3. 验证安全策略有效性

   • 作用：检查防火墙、访问控制、加密策略是否按预期生效。

   • 示例：通过审计发现某服务器的SSH密码登录未禁用，存在暴力破解风险。

4. 事件响应支持

   • 作用：审计日志和配置记录可帮助快速定位攻击路径和影响范围。

   • 示例：在数据泄露事件中，通过审计日志追踪攻击者的横向移动路径。

5. 提升信任与透明度

   • 作用：向客户、合作伙伴或监管机构证明安全措施的可靠性。

   • 示例：通过第三方安全审计报告获取SOC 2认证，增强客户信任。

---

使用场景及案例

1. 系统配置基线审计

• 场景：检查服务器、网络设备是否符合安全基线（如CIS Benchmark）。

• 工具：OpenSCAP、Ansible

• 案例：使用OpenSCAP自动化扫描Linux服务器配置。

# 安装OpenSCAP
sudo yum install openscap-scanner scap-security-guide

# 执行CIS基线审计
oscap xccdf eval --profile xccdf_org.ssgproject.content_profile_cis \
  --results scan-results.xml \
  /usr/share/xml/scap/ssg/content/ssg-centos7-ds.xml

# 生成报告
oscap xccdf generate report scan-results.xml > audit-report.html

2. 日志分析与异常行为检测

• 场景：审计系统、应用和网络日志，识别异常登录或攻击行为。

• 工具：ELK Stack（Elasticsearch + Logstash + Kibana）

• 案例：通过Kibana仪表盘监控SSH暴力破解尝试。

# 在Kibana中查询失败的SSH登录
event.dataset: "system.auth" AND event.action: "failed" AND ssh.event: "connection"

3. 漏洞扫描与修复验证

• 场景：定期扫描系统漏洞并验证补丁是否生效。

• 工具：Nessus、Nexpose

• 案例：使用Nessus API自动化扫描并生成报告。

import requests

# 启动Nessus扫描
url = "https://nessus-server:8834/scans"
headers = {"X-ApiKeys": "access_key=xxx; secret_key=xxx"}
data = {"uuid": "template-uuid", "settings": {"name": "Web-Server-Scan", "text_targets": "192.168.1.101"}}
response = requests.post(url, headers=headers, json=data, verify=False)
scan_id = response.json()["scan"]["id"]

# 下载报告
report_url = f"https://nessus-server:8834/scans/{scan_id}/export"
requests.post(report_url, headers=headers, data={"format": "pdf"})

4. 权限与访问控制审计

• 场景：检查用户/服务账户权限是否遵循最小特权原则。

• 工具：AWS IAM Analyzer、自定义脚本

• 案例：使用Python脚本审计Linux服务器的sudo权限。

import subprocess

# 提取/etc/sudoers中有权限的用户
output = subprocess.check_output("grep -Po '^\\w+\\s+ALL=' /etc/sudoers", shell=True)
users = output.decode().splitlines()

if users:
    print("高风险：以下用户拥有完整sudo权限：")
    for user in users:
        print(user.split()[0])
else:
    print("无过度权限用户。")

5. 云环境合规审计

• 场景：验证云资源（如AWS S3存储桶、IAM角色）是否符合安全策略。

• 工具：AWS Config、Azure Policy

• 案例：使用AWS CLI检查未加密的S3存储桶。

aws s3api list-buckets --query 'Buckets[].Name' | jq -r '.[]' | while read bucket; do
  encryption=$(aws s3api get-bucket-encryption --bucket $bucket 2>/dev/null)
  if [ $? -ne 0 ]; then
    echo "$bucket 未启用加密！"
  fi
done

6. 容器安全审计

• 场景：检查Docker/Kubernetes环境中的镜像漏洞与配置风险。

• 工具：Trivy、kube-bench

• 案例：使用Trivy扫描容器镜像漏洞。

# 扫描本地Docker镜像
trivy image --severity CRITICAL my-webapp:latest

# 输出示例
my-webapp:latest (alpine 3.12.0)
===============================
Total: 2 (CRITICAL: 2)

+---------+------------------+----------+-------------------+---------------+
| LIBRARY | VULNERABILITY ID | SEVERITY | INSTALLED VERSION | FIXED VERSION |
+---------+------------------+----------+-------------------+---------------+
| openssl | CVE-2021-3449    | CRITICAL | 1.1.1g            | 1.1.1k        |
+---------+------------------+----------+-------------------+---------------+

7. 代码仓库安全审计

• 场景：检查代码中的敏感信息（如API密钥、密码）或依赖库漏洞。

• 工具：GitGuardian、Snyk

• 案例：使用Git Hooks阻止提交包含密钥的代码。

# 在.git/hooks/pre-commit中添加检查
#!/bin/sh
if git diff --cached | grep -E "AKIA[0-9A-Z]{16}"; then
  echo "检测到AWS访问密钥！禁止提交。"
  exit 1
fi

---

总结

安全审计需要覆盖以下关键点：

1. 自动化：通过脚本或工具（如Ansible、OpenSCAP）实现定期审计。

2. 全生命周期：从代码开发到生产环境均需纳入审计范围。

3. 持续改进：将审计结果反馈到安全策略和修复流程中。

4. 合规驱动：根据行业要求（如GDPR第32条）设计审计方案。

通过结合自动化工具与人工审查，安全审计可显著降低风险暴露面，并为业务连续性提供保障。