1. 极牛网首页
  2. 信息安全

Linux主机安全检查与应急响应

在进行主机安全检查或处理安全事件时,我们不能避免检查系统的安全性。在Linux安全检查期间,有必要使用相关脚本对系统的安全状况进行全面分析。一方面,有必要尽可能多地收集系统的相关信息,另一方面,当数量较大时,有必要尽可能地提高效率。

Linux

由于许多服务器在签入许多安全检查时必须进行全面检查,一方面手动编写脚本效率低下,另一方面要求安全检查人员熟悉要检查的项目。

在这种情况下,我为Linux安全检查编写了一个脚本,主要用于以下场景:

;当Linux主机的安全事件需要综合分析时。

该脚本完成了一段时间,最近在紧急响应组中进行了讨论。发现这个安全检查是每个人的强烈需求,所以我与每个人共享这个检查脚本有两个主要目的:一是提高每个人在Linux安全检查中的效率,释放每个人的能量;另一方面,我希望您能在使用过程中不断发现问题,不断总结缺失的安全检查项目,并帮助改进检查脚本。因此,如果您在使用过程中有任何问题或建议,请及时发给我。

一、检查内容

1. 整体框架

关于Linux安全检查,在这个总结中,我主要需要检查以下内容:

(1)系统安全检查(进程、开放端口、连接、日志等)。)

这个块是目前这个脚本实现的功能。

(2) rootkit

建议使用rootkit杀人工具进行检查,如rkhunter

(3) webshell

是一种相对困难的杀毒技术,这不是这个脚本需要实现的功能。对于这一项检查,可以使用3D屏蔽(网络目录可以安装到视窗中,在Linux下进行检查);

(4)网络日志

(5)流量

此模块主要关注主机的长期流量分析。目前,个人已经使用tshark实现了基本的流量分析,并将在后期做出相应的改进。流量块可以提取流量五倍子、域名系统流量和超文本传输协议流量,然后结合威胁情报数据进行深入分析。在这个后期阶段,如果可能的话,个人将进行相关尝试并共享相关内容。

2. 系统安全检查框架

image.png

image.png

二、功能实现

1. 功能设计

v 1.2目前可用,V1.3相关功能将在后期得到改进。

此外,操作中可以实现一键安全检查,检查结果可以保存到本机。只需在主机文本中输入相应的知识产权、帐号和密码。人工参与在操作中被最小化。

2. 各脚本功能说明

下载后,整个脚本的目录结构如下:

下面描述了一些脚本。

(1) Checkrules

判断逻辑主要放在两个文件中:一个是Checkrules,格式为dat。建议在这里放入更复杂的判断逻辑,比如下面的TCP危险端口,因为有很多,如果放在buying_linuxcheck.sh中,代码会有些长。以下是TCP高风险端口的判断逻辑,主要基于默认情况下特洛伊木马使用的端口号。判断逻辑相对简单,并且可能存在误报,因此稍后需要手动干预分析。

image.png

(2)BUCKING _ LINUX CHECK。SH

Core的函数集合和判断逻辑,相对简单的判断逻辑可以放在这里进行判断。

image.png

三、使用

它使用起来相对简单。将此脚本复制到您的一台Linux主机上。您可以使用虚拟机将待检服务器的IP、账号和密码放入hosts.txt目录,然后直接运行,实现一键安全检查。

相关操作

(1)将待检服务器的IP、账户和密码写入hosts.txt文件,格式为:

IP:端口:用户:用户密码:根密码@

其中用户为普通用户的账户,端口为ssh登录端口,uesrpassword为普通账户的密码,rootpassword为root的密码。添加普通用户的唯一原因是一些系统制定了安全策略,不允许root用户直接登录。如果选中的服务器允许root用户直接登录,用户和用户密码可以直接写成root和root密码。

image.png

这里选中的服务器允许root用户直接登录,所以直接写root帐户和密码。

(2)运行安全检查脚本:sh登录。sh

安全检查脚本正在后台运行。等一会儿.

image.png

(3)当您在远程服务器上看到检查脚本的删除和检查结果时,检查结束。

image.png

(4)检查完成后,远程服务器上的结果将保存到本地主机:

image.png

四、检查结果说明

检查完成后,解压缩相应结果后的目录结构如下:

image.png

1. Check_file

检查的最终结果将被保存。这是什么样子.

image.png

2. Log

目录保存着Linux系统日志。当前的网络日志脚本没有实现自动打包的功能。原因是网络日志通常太大,保存的日志可能从运行到现在都是日志。许多日志不需要检查和分析,因此相关人员可以在检查时根据具体情况打包相应的日志。

image.png

3. danger_file.txt

保存安全检查中发现的问题:

image.png

4. sysfile_md5.txt

保存系统密钥文件或系统文件的MD5值。记录这些关键文件MD5的原因主要有两个功能:第一,在定期检查时,可以与* * *次数的结果进行比较,如果有任何变化会提示;另一个是,这些关键文件的MD5值可以运行到威胁智能库或病毒总库,以找到系统文件的可能替换。

image.png

五、代码下载

相关代码已上传至github。如果有必要,你可以自己下载。如果您有任何问题,也可以联系

https://github.com/T0xst/linux

极牛网精选文章《Linux主机安全检查与应急响应》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://jikenb.com/5190.html

发表评论

登录后才能评论