应急响应系统之 Linux 主机安全检查

在进行主机安全检查或处理安全事件时，我们不能避免检查系统的安全性。在Linux安全检查期间，有必要使用相关脚本对系统的安全状况进行全面分析。一方面，有必要尽可能多地收集系统的相关信息，另一方面，当数量较大时，有必要尽可能地提高效率。由于许多服务器在签入许多安全检查时必须进行全面检查，如果脚本是手动编写的，一方面效率很低，另一方面安全检查人员需要熟悉要检查的项目。在这种情况下，我为Linux安全检查编写了一个脚本，主要用于以下场景:

Linux主机安全检查当发生Linux主机安全事件并需要全面分析时@

该脚本完成了一段时间，最近在紧急响应组中进行了讨论。发现这个安全检查是每个人的强烈需求，所以我与每个人共享了这个检查脚本。共享的目的是提高Linux安全检查的效率，释放每个人的能量。另一方面，我希望您能在使用过程中不断发现问题，不断总结缺失的安全检查项目，并帮助改进检查脚本。因此，如果您在使用过程中有任何问题或建议，请及时发给我。

检查内容

1. 整体框架

关于Linux安全检查，我认为我需要检查以下内容:

2. 系统安全检查框架

3. 功能实现

functional design:

目前有1.2版本，与1.3版本相关的功能将在后期得到改进。

此外，操作时可实现一键安全检查，检查结果可保存到机器上。只需在主机文本中输入相应的知识产权、帐号和密码。人工参与在操作中被最小化。

4. 各脚本功能说明

下载后整个脚本的目录结构如下:

下面将介绍一些脚本

(1) Checkrules

判断逻辑主要放在两个文件中，其中:个是dat格式的Checkrules。建议在这里放置更复杂的判断逻辑。例如，下面有许多TCP危险端口。如果你把它放在buying _ linuxcheck.sh中，代码有点长。以下是TCP危险端口的判断逻辑，主要基于特洛伊木马默认使用的端口号。判断逻辑相对简单，可能存在误报，因此需要在下文中进行手动干预分析。

(2)BUCKING _ LINUX CHECK。SH

Core的函数集合和判断逻辑，相对简单的判断逻辑可以放在这里进行判断。

5. 使用

它使用起来相对简单。将此脚本复制到您的一台Linux主机上。您可以使用虚拟机将待检服务器的IP、账号和密码放入hosts.txt目录，然后直接运行，实现一键安全检查。

相关操作如下:

(1)将待检服务器的IP、账号和密码写入hosts.txt文件格式

IP:端口:用户:用户密码:根密码@

其中用户为普通用户账号，端口为ssh登录端口，用户密码为普通账号密码，root密码为root密码。添加普通用户的唯一原因是一些系统制定了安全策略，不允许root用户直接登录。如果选中的服务器允许root直接登录，用户和用户密码可以写成root和root密码

并且选中的服务器允许root直接登录。因此，写下根账号和密码

(2)运行安全检查脚本。

shlogin . sh@

安全检查脚本将在后台运行。等一会儿.

(3)当您在远程服务器上看到检查脚本的删除和检查结果时，表示检查结束

(4)检查结束后，远程服务器上的结果将保存到本地主机

6. 检查结果说明

检查完成后，解压缩相应结果后的目录结构如下:3360

这边走.

(2)log

目录保存Linux系统日志。当前的web日志脚本没有实现自动打包的功能。原因是web日志通常太大，保存的日志可能从运行到现在都是日志。许多日志不需要检查和分析。因此，在检查过程中，相关人员可以根据具体情况，将相应的日志

打包。保存的是在安全检查

保存系统密钥文件或系统文件的md5值时发现的问题。记录这些关键文档MD5的原因主要有两个功能:优先，定期检查时，可以与以前的结果进行比较。如果有任何变化，将会提示；另一个是，这些关键文件的MD5值可以运行到威胁智能库或病毒总库，以找到系统文件的可能替换。