1. 极牛网首页
  2. 信息安全

应急响应系统之 Linux 主机安全检查

在进行主机安全检查或处理安全事件时,我们不能避免检查系统的安全性。在Linux安全检查期间,有必要使用相关脚本对系统的安全状况进行全面分析。一方面,有必要尽可能多地收集系统的相关信息,另一方面,当数量较大时,有必要尽可能地提高效率。由于许多服务器在签入许多安全检查时必须进行全面检查,如果脚本是手动编写的,一方面效率很低,另一方面安全检查人员需要熟悉要检查的项目。在这种情况下,我为Linux安全检查编写了一个脚本,主要用于以下场景:

Linux主机安全检查当发生Linux主机安全事件并需要全面分析时@

该脚本完成了一段时间,最近在紧急响应组中进行了讨论。发现这个安全检查是每个人的强烈需求,所以我与每个人共享了这个检查脚本。共享的目的是提高Linux安全检查的效率,释放每个人的能量。另一方面,我希望您能在使用过程中不断发现问题,不断总结缺失的安全检查项目,并帮助改进检查脚本。因此,如果您在使用过程中有任何问题或建议,请及时发给我。

Linux 主机安全检查

检查内容

1. 整体框架

关于Linux安全检查,我认为我需要检查以下内容:

2. 系统安全检查框架

应急响应系统之 Linux 主机安全检查

3. 功能实现

functional design:

目前有1.2版本,与1.3版本相关的功能将在后期得到改进。

此外,操作时可实现一键安全检查,检查结果可保存到机器上。只需在主机文本中输入相应的知识产权、帐号和密码。人工参与在操作中被最小化。

4. 各脚本功能说明

下载后整个脚本的目录结构如下:

应急响应系统之 Linux 主机安全检查

下面将介绍一些脚本

(1) Checkrules

判断逻辑主要放在两个文件中,其中:个是dat格式的Checkrules。建议在这里放置更复杂的判断逻辑。例如,下面有许多TCP危险端口。如果你把它放在buying _ linuxcheck.sh中,代码有点长。以下是TCP危险端口的判断逻辑,主要基于特洛伊木马默认使用的端口号。判断逻辑相对简单,可能存在误报,因此需要在下文中进行手动干预分析。

应急响应系统之 Linux 主机安全检查

(2)BUCKING _ LINUX CHECK。SH

Core的函数集合和判断逻辑,相对简单的判断逻辑可以放在这里进行判断。

应急响应系统之 Linux 主机安全检查

5. 使用

它使用起来相对简单。将此脚本复制到您的一台Linux主机上。您可以使用虚拟机将待检服务器的IP、账号和密码放入hosts.txt目录,然后直接运行,实现一键安全检查。

相关操作如下:

(1)将待检服务器的IP、账号和密码写入hosts.txt文件格式

IP:端口:用户:用户密码:根密码@

其中用户为普通用户账号,端口为ssh登录端口,用户密码为普通账号密码,root密码为root密码。添加普通用户的唯一原因是一些系统制定了安全策略,不允许root用户直接登录。如果选中的服务器允许root直接登录,用户和用户密码可以写成root和root密码

应急响应系统之 Linux 主机安全检查

并且选中的服务器允许root直接登录。因此,写下根账号和密码

(2)运行安全检查脚本。

shlogin . sh@

安全检查脚本将在后台运行。等一会儿.

应急响应系统之 Linux 主机安全检查

(3)当您在远程服务器上看到检查脚本的删除和检查结果时,表示检查结束

应急响应系统之 Linux 主机安全检查

(4)检查结束后,远程服务器上的结果将保存到本地主机

应急响应系统之 Linux 主机安全检查

6. 检查结果说明

检查完成后,解压缩相应结果后的目录结构如下:3360

应急响应系统之 Linux 主机安全检查这边走.

应急响应系统之 Linux 主机安全检查

(2)log

目录保存Linux系统日志。当前的web日志脚本没有实现自动打包的功能。原因是web日志通常太大,保存的日志可能从运行到现在都是日志。许多日志不需要检查和分析。因此,在检查过程中,相关人员可以根据具体情况,将相应的日志

应急响应系统之 Linux 主机安全检查

应急响应系统之 Linux 主机安全检查

打包。保存的是在安全检查

应急响应系统之 Linux 主机安全检查

应急响应系统之 Linux 主机安全检查

保存系统密钥文件或系统文件的md5值时发现的问题。记录这些关键文档MD5的原因主要有两个功能:优先,定期检查时,可以与以前的结果进行比较。如果有任何变化,将会提示;另一个是,这些关键文件的MD5值可以运行到威胁智能库或病毒总库,以找到系统文件的可能替换。

应急响应系统之 Linux 主机安全检查

 

极牛网精选文章《应急响应系统之 Linux 主机安全检查》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://jikenb.com/5242.html

发表评论

登录后才能评论