Linux主机安全检查与应急响应

在进行主机安全检查或处理安全事件时，我们不能避免检查系统的安全性。在Linux安全检查期间，有必要使用相关脚本对系统的安全状况进行全面分析。一方面，有必要尽可能多地收集系统的相关信息，另一方面，当数量较大时，有必要尽可能地提高效率。

由于许多服务器在签入许多安全检查时必须进行全面检查，一方面手动编写脚本效率低下，另一方面要求安全检查人员熟悉要检查的项目。

在这种情况下，我为Linux安全检查编写了一个脚本，主要用于以下场景:

；当Linux主机的安全事件需要综合分析时。

该脚本完成了一段时间，最近在紧急响应组中进行了讨论。发现这个安全检查是每个人的强烈需求，所以我与每个人共享这个检查脚本有两个主要目的:一是提高每个人在Linux安全检查中的效率，释放每个人的能量；另一方面，我希望您能在使用过程中不断发现问题，不断总结缺失的安全检查项目，并帮助改进检查脚本。因此，如果您在使用过程中有任何问题或建议，请及时发给我。

一、检查内容

1. 整体框架

关于Linux安全检查，在这个总结中，我主要需要检查以下内容:

(1)系统安全检查(进程、开放端口、连接、日志等)。)

这个块是目前这个脚本实现的功能。

(2) rootkit

建议使用rootkit杀人工具进行检查，如rkhunter

(3) webshell

是一种相对困难的杀毒技术，这不是这个脚本需要实现的功能。对于这一项检查，可以使用3D屏蔽(网络目录可以安装到视窗中，在Linux下进行检查)；

(4)网络日志

(5)流量

此模块主要关注主机的长期流量分析。目前，个人已经使用tshark实现了基本的流量分析，并将在后期做出相应的改进。流量块可以提取流量五倍子、域名系统流量和超文本传输协议流量，然后结合威胁情报数据进行深入分析。在这个后期阶段，如果可能的话，个人将进行相关尝试并共享相关内容。

2. 系统安全检查框架

二、功能实现

1. 功能设计

v 1.2目前可用，V1.3相关功能将在后期得到改进。

此外，操作中可以实现一键安全检查，检查结果可以保存到本机。只需在主机文本中输入相应的知识产权、帐号和密码。人工参与在操作中被最小化。

2. 各脚本功能说明

下载后，整个脚本的目录结构如下:

下面描述了一些脚本。

(1) Checkrules

判断逻辑主要放在两个文件中:一个是Checkrules，格式为dat。建议在这里放入更复杂的判断逻辑，比如下面的TCP危险端口，因为有很多，如果放在buying_linuxcheck.sh中，代码会有些长。以下是TCP高风险端口的判断逻辑，主要基于默认情况下特洛伊木马使用的端口号。判断逻辑相对简单，并且可能存在误报，因此稍后需要手动干预分析。

(2)BUCKING _ LINUX CHECK。SH

Core的函数集合和判断逻辑，相对简单的判断逻辑可以放在这里进行判断。

三、使用

它使用起来相对简单。将此脚本复制到您的一台Linux主机上。您可以使用虚拟机将待检服务器的IP、账号和密码放入hosts.txt目录，然后直接运行，实现一键安全检查。

相关操作

(1)将待检服务器的IP、账户和密码写入hosts.txt文件，格式为:

IP:端口:用户:用户密码:根密码@

其中用户为普通用户的账户，端口为ssh登录端口，uesrpassword为普通账户的密码，rootpassword为root的密码。添加普通用户的唯一原因是一些系统制定了安全策略，不允许root用户直接登录。如果选中的服务器允许root用户直接登录，用户和用户密码可以直接写成root和root密码。