系統日志審查
檢查/var/log/secure(SSH登錄日志)�、/var/log/messages(系統核心日志)等關鍵日志文件�,使用grep命令過濾error����、failed����、unauthorized等關鍵詞���,尋找異常登錄嘗試(如多次密碼錯誤)��、權限提升(如sudo濫用)或可疑進程活動(如非root用戶執行高權限命令)�。也可通過journalctl -xe查看實時系統日志�����,快速定位近期異常事件����。
網絡流量監控
使用tcpdump(命令行工具)或Wireshark(圖形化工具)捕獲網絡接口數據包�,分析異常通信模式——如高頻端口掃描(如連續掃描1-1024端口)��、未授權的外部連接(如連接到陌生IP的22/3306端口)�、大量數據外傳(如curl或wget向陌生域名發送敏感數據)���。同時檢查防火墻(firewalld/iptables)日志���,確認是否有意外的規則更改或被拒絕的連接請求��。
系統完整性檢查
通過Tripwire�、AIDE等文件完整性監控工具���,對比系統關鍵文件(如/bin���、/sbin下的二進制文件��、/etc/passwd//etc/shadow等配置文件)的當前狀態與基準值�,識別未經授權的修改(如ls命令被替換為惡意程序����、/etc/passwd新增未授權賬戶)�。定期運行這些工具��,確保系統文件未被篡改�。
安全漏洞掃描
使用Nessus(商業�����,功能全面)����、OpenVAS(開源���,支持多種漏洞數據庫)��、Nmap(網絡探測+漏洞掃描)等工具定期掃描系統��,檢測已知漏洞(如內核漏洞���、Apache/Nginx未修復的CVE漏洞)��。例如����,Nessus可通過GUI界面選擇掃描目標��,生成詳細漏洞報告(含CVSS評分���、修復建議)�;Nmap可通過-sV參數探測服務版本���,結合--script=vuln檢測漏洞�����。
賬戶與權限審計
審計/etc/passwd文件��,檢查是否存在未授權賬戶(如新增的test賬戶)�����、異常UID/GID(如UID=0的非root賬戶)或被修改的用戶信息(如root用戶的shell被改為/bin/bash以外的路徑)����。同時確認SELinux狀態(getenforce命令)�,確保其處于Enforcing模式(默認開啟)��,避免攻擊者通過權限提升漏洞繞過系統限制�。
惡意軟件檢測
使用ClamAV(開源反病毒工具)掃描系統文件��,檢測惡意軟件(如病毒����、木馬)��;通過rkhunter(Rootkit檢測工具)�、chkrootkit(Rootkit掃描工具)查找隱藏的Rootkit(如lrk3�、phalanx)����,這些工具可檢測系統二進制文件是否被篡改�����、是否存在可疑的內核模塊�。
進程與文件行為監控
使用ps aux����、top命令查看當前運行的進程�����,識別異常進程(如占用高CPU/內存的nc(netcat)反向隧道進程�、無父進程的init進程)�����;通過lsof命令檢查進程打開的文件(如lsof -i :22查看SSH連接)����,確認是否有進程訪問敏感文件(如/etc/shadow)�。結合auditd(Linux審計守護進程)��,監控關鍵文件(如/etc/passwd)的讀寫操作��,記錄可疑行為��。
自動化工具整合
部署Lynis(開源安全審計工具)��,自動化執行系統強化檢查(如SSH配置���、防火墻規則���、用戶權限)���,生成安全報告并提出修復建議�����。通過cron定時任務定期運行上述工具(如每天凌晨掃描系統漏洞�����、每小時檢查日志)�����,實現持續監控����,及時發現潛在Exploit���。
