深度揭秘：Linux系统安全攻防实战——从入侵排查到加固及备份的全方位指南

深度揭秘：Linux系统安全攻防实战——从入侵排查到加固及备份的全方位指南

在Linux系统中，安全入侵排查是确保系统稳定性和数据安全的重要步骤。本文将详细介绍Linux系统安全入侵排查的方法，包括检查命令及说明，帮助系统管理员及时发现并应对潜在的安全威胁。

1 账号安全

1.1 查看特权用户

特权用户（UID为0的用户）是系统中最危险的角色，需要重点排查。

\# awk -F: '{if($3==0)print $1}' /etc/passwd

1.2 查询可登录用户

查看能够登录的用户，特别是远程登录的用户。

\# cat /etc/passwd | grep /bin/bash  
\# awk '/\\$1|\\$6/{print $1}' /etc/shadow

1.3 查看sudo权限用户

检查除root外，哪些用户拥有sudo权限。

\# cat /etc/sudoers | grep -v "^#\\|^$" | grep "ALL=(ALL)"

1.4 查看当前登录用户

\# who  
\# w

1.5 禁用或删除多余账号

1.5.1 禁用账号

\# usermod -L \[username\]

1.5.2 删除账号及家目录

\# userdel -r \[username\]

2 历史记录

2.1 查看当前用户历史命令

\# history

2.2 查看指定用户历史命令

\# cat /home/username/.bash\_history

2.3 修改历史记录保存数量

\# sed -i 's/^HISTSIZE=1000/HISTSIZE=10000/g' /etc/profile

3 端口与进程

3.1 查看端口连接情况

使用netstat或ss命令查看端口连接情况，分析可疑端口、IP和PID。

3.1.1 确认没有未授权的网络连接

\# netstat -antup | grep LISTEN

显示所有监听状态的网络连接，检查是否有未知的监听端口。

或者

\# ss -antup

类似于netstat，但通常输出更简洁，同样用于检查监听的网络连接。

3.1.2 分析可疑端口、IP和PID

\# lsof -i :\[Port\]  
\# lsof -p \[PID\]

3.2 查看进程信息

使用ps命令查看进程信息，结合grep命令查找可疑进程。

\# ps aux | grep \[进程名或PID\]

3.3 查找进程对应的执行文件

\# ls -l /proc/\[PID\]/exe

4 开机启动项与定时任务

4.1 查看开机启动项

检查/etc/rc.local、/etc/rc.d/rc[0~6].d等目录下的脚本文件。

\# systemctl list-unit-files --type=service | grep enabled    
\# chkconfig --list

4.2 查看定时任务

检查crontab和anacron的定时任务。

4.2.1 查看crontab

\# crontab \[-u username\] -l

4.2.2 编辑crontab

\# crontab \[-u username\] -e

4.2.3 删除crontab

\# crontab \[-u username\] -r

4.2.4 查看crontab相关详细内容

\# cat /etc/crontab  
\# cat /etc/cron.d/\*  
\# cat /etc/anacrontab  
\# cat /var/spool/anacron/\*

5 系统日志

5.1 查看系统日志

系统日志是追踪入侵者活动的重要线索。

5.1.1 SSH登录日志

5.1.1.1 CentOS/RHEL系统

\# cat /var/log/secure

5.1.1.2 Debian/Ubuntu系统

\# cat /var/log/auth.log

5.1.2 系统核心和服务日志

\# cat /var/log/syslog

5.1.3 系统活动记录日志

包括应用程序和其他系统程序的输出。‌

\# cat /var/log/messages

5.2 分析日志内容

使用grep等工具分析日志内容，查找可疑的登录尝试、命令执行等。

\# grep "Failed password" /var/log/secure  
\# grep "Accepted password" /var/log/secure

6 文件分析

6.1 检查敏感目录

使用find命令检查敏感目录中的文件，如/opt、/var/log等。

比如查找一天内被访问的文件：

\# find /opt -type f -atime -1

6.2 检查文件属性

使用stat命令查看文件的创建、修改和访问时间。

\# stat /path/file

6.3 查找隐藏文件

注意检查以.开头的隐藏文件。

\# find / -type f -name ".\*"

6.4 检查系统完整性

确认系统文件没有被篡改。

6.4.1 CentOS/RHEL系统

对于RPM包管理的系统，检查所有包的完整性和校验和。

\# rpm -Va

6.4.2 Debian/Ubuntu系统

对于Debian/Ubuntu系统，检查所有包的完整性。

\# dpkg --verify

7 rootkit检测

Rootkit是黑客用来隐藏自身踪迹和恶意活动的工具，它们能够深入操作系统的底层，甚至修改内核来逃避检测。以下是几种常用的rootkit检测工具：

7.1 chkrootkit

chkrootkit是一款流行的rootkit检测工具，它能够检查系统中是否存在多种rootkit的迹象。

7.1.1 安装编译工具包

\# yum install gcc gcc-c++ make -y  
\# yum install glibc-static -y

7.1.2 安装Chkrootkit

1. 下载软件包

\# wget https://src.fedoraproject.org/repo/pkgs/chkrootkit/chkrootkit-0.57.tar.gz/sha512/ff35f01042bc68bdd10c4e26dbde7af7127768442c7a10f114260188dcc7e357e2c48d157c0b83b99e2fd465db3ed3933c84ae12fa411c5c28f64b955e742ff7/chkrootkit-0.57.tar.gz

2. 解压软件包

\# tar zxvf chkrootkit-0.57.tar.gz

3. 进入目录

\# cd chkrootkit-0.57

4. 安装程序

\# make sense

5. 拷贝到安装目录

\# cp ./chkrootkit /usr/local/bin/

7.1.3 使用Chkrootkit进行检查

7.1.3.1 全局检查

\# chkrootkit

检查结果如果出现了INFECTED，则说明检测出系统后门。

7.1.3.2 筛选检查

\# chkrootkit | grep INFECTED

检查结果若正常，则不会返回结果，有返回结果则说明检测出系统后门。

7.2 rkhunter

rkhunter是另一个强大的rootkit检测工具，它不仅能检测rootkit，还能检测其他类型的恶意软件。

7.2.1 CentOS/RHEL系统

\# yum install epel-release -y  
\# yum install rkhunter -y  
\# rkhunter --checkall

7.2.2 Debian/Ubuntu系统

\# apt-get install epel-release -y  
\# apt-get install rkhunter -y  
\# rkhunter --checkall

7.3 Lynis

虽然Lynis主要是一个系统安全审计工具，但它也包含了一些rootkit检测功能。

7.3.1 CentOS/RHEL系统

\# yum install lynis -y  
\# lynis audit system

7.3.2 Debian/Ubuntu系统

\# apt-get install lynis -y  
\# lynis audit system

8 加固系统安全性

8.1 更新和补丁

保持系统和所有软件的最新状态，及时应用安全补丁。

8.1.1 CentOS/RHEL系统

\# yum update -y

8.1.2 Debian/Ubuntu系统

\# apt-get update && apt-get upgrade -y

8.2. 防火墙配置

配置防火墙以限制不必要的网络访问。

8.2.1 CentOS/RHEL系统

\# firewall-cmd --permanent --zone=public --add-service=http  
\# firewall-cmd --reload

8.2.2 Debian/Ubuntu系统

\# ufw enable

8.3 SELinux

启用并配置SELinux（Security-Enhanced Linux），以增加系统的访问控制安全性。

对于使用SELinux的系统，检查其状态。

8.3.1 检查SELinux其状态

\# sestatus

查看SELinux的状态和配置，确认没有被禁用或异常配置。

8.3.2 临时启用SELinux

\# setenforce 1

8.3.3 永久启用SELinux

\# sed -i s/SELINUX=disabled/SELINUX=enforcing/g /etc/selinux/config

**注意：**重启系统后生效。

8.4 审计和监控

启用系统审计（如auditd）和实时监控（如fail2ban），以检测并记录可疑活动。

8.4.1 安装auditd和fail2ban

8.4.1.1 CentOS/RHEL系统

\# yum install audit -y  
\# yum install fail2ban -y

8.4.1.2 Debian/Ubuntu系统

\# apt-get install audit -y  
\# apt-get install fail2ban -y

8.4.2 启动fail2ban

\# systemctl start fail2ban   
\# systemctl enable fail2ban

8.5 最小化服务

关闭不必要的服务和守护进程，减少潜在的攻击面。

\# systemctl disable \[服务名\]    
\# systemctl stop \[服务名\]

8.6 访问控制

确保对系统文件和目录的访问控制是恰当的，使用最小权限原则。

赋予用户相关账号文件最小权限

\# chmod 644 /etc/passwd   
\# chmod 400 /etc/shadow   
\# chmod 644 /etc/group  
\# chmod 644 /etc/services  
\# chmod 600 /etc/xinetd.conf  
\# chmod 600 /etc/security

8.7 定期备份

定期备份系统数据和配置文件，以便在遭受攻击时能够快速恢复。

8.7.1 系统配置文件备份

• /etc/ 目录：包含了大多数的系统配置文件，如网络配置（/etc/network/interfaces 或 /etc/sysconfig/network-scripts/）、用户信息（/etc/passwd, /etc/shadow）、系统服务配置（如 Apache 的 /etc/httpd/conf/ 或 Nginx 的 /etc/nginx/）等。

• /var/lib/dpkg/status（Debian/Ubuntu系统）：记录了已安装的软件包信息。

• /var/log/ 目录下的日志文件（可选备份，因为它们可能会迅速增长）：虽然日志文件不是配置信息，但它们是诊断问题的重要资源。

8.7.2 用户数据备份

• /home/ 目录：包含所有用户的主目录和他们的个人文件。

• /var/www/ 或其他Web服务器目录（如果服务器用于Web服务）：包含网站数据。

• /var/mail/（如果系统作为邮件服务器）：包含电子邮件数据。

8.7.3 数据库备份

• 数据库文件和数据目录，这取决于你使用的数据库系统（如 MySQL 的 /var/lib/mysql/，PostgreSQL 的 /var/lib/postgresql/ 等）。

8.7.4 引导加载器和分区表

• 虽然直接备份这些可能比较复杂，但确保你的引导加载器（如 GRUB）的配置文件（如 /boot/grub/grub.cfg）和分区表（通常通过备份整个 /boot 分区或使用如 dd 的工具备份引导扇区）是恢复系统的关键部分。

8.7.5 特殊文件和设备

• /proc 和 /sys 目录是虚拟文件系统，通常不需要备份，因为它们包含了系统运行时的动态信息。

• /dev 目录下的设备文件也不需要备份，因为它们在系统启动时由udev重新创建。

8.7.6 如何备份

• 使用如 rsync、cp、tar 等命令行工具进行文件级备份。

• 使用如 dump 和 restore（针对ext2/ext3/ext4文件系统）或 xfsdump 和 xfsrestore（针对XFS文件系统）等工具进行更底层的备份。

• 使用如 Bacula、Amanda、Duplicati 或更简单的 rsync 脚本加 cron 作业来实现自动化定期备份。

• 考虑将备份数据存储在外部硬盘、网络附加存储（NAS）、云存储服务等不同位置，以防止本地灾难导致的数据丢失。

有幸看到一篇这样一组数据。

根据这些我不得总结，it行业确实人才紧缺，

网络安全行业特点

1、就业薪资非常高，涨薪快 2021年猎聘网发布网络安全行业就业薪资行业最高人均33.77万！

2、人才缺口大，就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表：我国网络空间安全人才 需求140万人，而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W，现在从事网络安全行业的从业人员只有10W人。

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。

如果你对网络安全入门感兴趣，那么你点击这里👉CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享

如果你对网络安全感兴趣，学习资源免费分享，保证100%免费！！！（嘿客入门教程）

学习资料分享

当然，只给予计划不给予学习资料的行为无异于耍流氓，### 如果你对网络安全入门感兴趣，那么你点击这里👉CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享

如果你对网络安全感兴趣，学习资源免费分享，保证100%免费！！！（嘿客入门教程）

👉网安（嘿客）全套学习视频👈

我们在看视频学习的时候，不能光动眼动脑不动手，比较科学的学习方法是在理解之后运用它们，这时候练手项目就很适合了。

👉网安（嘿客红蓝对抗）所有方向的学习路线****👈

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

学习资料工具包

压箱底的好资料，全面地介绍网络安全的基础理论，包括逆向、八层网络防御、汇编语言、白帽子web安全、密码学、网络安全协议等，将基础理论和主流工具的应用实践紧密结合，有利于读者理解各种主流工具背后的实现机制。

面试题资料

独家渠道收集京东、360、天融信等公司测试题！进大厂指日可待！

👉嘿客必备开发工具👈

工欲善其事必先利其器。学习嘿客常用的开发软件都在这里了，给大家节省了很多时间。

这份完整版的网络安全（嘿客）全套学习资料已经上传至CSDN官方，朋友们如果需要点击下方链接也可扫描下方微信二v码获取网络工程师全套资料【保证100%免费】

如果你对网络安全入门感兴趣，那么你点击这里👉CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享