1. 安装与配置入侵检测系统(IDS)
IDS是检测入侵的核心工具,可通过分析网络流量或系统日志识别恶意活动。常用工具包括:
/var/ossec/etc/ossec.conf(如设置规则、邮件通知),启动服务后即可实时监控系统异常。libpcap-dev),配置suricata.yaml(设置监控接口、规则集),并通过suricata-update更新规则。2. 监控系统日志与进程
日志是发现入侵的重要线索,需定期检查关键日志文件:
/var/log/auth.log(Ubuntu)记录SSH登录、sudo使用等,可通过tail -f /var/log/auth.log实时查看,或用grep "Failed password"筛选失败登录尝试。/var/log/syslog记录系统事件(如服务启动、内核消息),异常条目(如未知服务启动)可能提示入侵。ps aux查看运行进程,netstat -tulnp或ss -tulnp查看监听端口(重点关注高位端口,如3306以上非标准端口),unhide proc检测隐藏进程(避免rootkit隐藏恶意进程)。3. 使用漏洞扫描与补丁管理工具
定期扫描系统漏洞并及时修复是预防入侵的关键:
linux-exploit-suggester(根据系统版本推荐exploit)、Nessus(商业版,全面漏洞扫描)、OpenVAS(开源版,类似Nessus)、Nmap(端口扫描+漏洞检测,如nmap -sV -O <IP>)。sudo apt update && sudo apt upgrade更新系统软件包,启用自动安全更新(sudo apt install unattended-upgrades,配置/etc/apt/apt.conf.d/50unattended-upgrades)。4. 文件完整性检查(AIDE)
AIDE(高级入侵检测环境)通过创建系统文件哈希库,检测未经授权的文件修改(如/etc/passwd被篡改、恶意脚本植入):
sudo apt install aide;sudo aideinit -y -f(生成初始哈希库/var/lib/aide/aide.db.new);sudo update-aide.conf(调整监控规则,如排除/tmp目录);sudo aide -c /etc/aide/aide.conf(对比当前文件状态与数据库,生成报告)。5. 防火墙与网络流量分析
防火墙可过滤非法流量,网络流量分析能发现异常通信:
sudo ufw allow 22/tcp、sudo ufw enable。sudo netfilter-persistent save,确保开机自启。tcpdump(命令行,如sudo tcpdump -i eth0 port 80捕获HTTP流量)、Wireshark(图形化,分析数据包内容)可检测异常流量(如大量SYN包、外连陌生IP)。6. 检测隐藏后门与rootkit
rootkit和后门会隐藏自身以逃避检测,需用专用工具扫描:
/usr/sbin/chkrootkit,检查系统二进制文件是否被篡改);sudo rkhunter --check,生成报告);lsof -i :<端口号>查看可疑端口的进程,systemctl list-units --type=service检查启动项(避免恶意服务开机自启)。