1. 安装与配置入侵检测系统(IDS)
入侵检测系统是检测入侵的核心工具,Ubuntu下常用工具包括OSSEC、AIDE、Snort等。
/var/ossec/etc/ossec.conf(设置监控目录、规则及邮件通知),启动服务并设置为开机自启(sudo systemctl start ossec-hids && sudo systemctl enable ossec-hids)。sudo aideinit -y -f),定期运行扫描(sudo aide.wrapper),生成的报告可帮助判断文件是否被非法修改。2. 监控系统日志与网络活动
日志和网络流量是发现入侵的重要线索,需定期检查异常记录。
/var/log/auth.log(SSH登录记录,如可疑IP、多次失败尝试)、/var/log/syslog(系统事件,如异常进程启动)。可使用tail -f实时查看日志,或通过ELK Stack(Elasticsearch+Logstash+Kibana)进行集中化分析,识别异常模式。tcpdump捕获数据包(sudo tcpdump -i any,保存为capture.pcap便于后续分析),Wireshark进行图形化分析(筛选异常端口、协议);netstat/ss查看当前网络连接(sudo netstat -tulnp,检查异常高位端口或未知进程),lsof查看端口对应进程(sudo lsof -i :<端口号>)。3. 检测隐藏进程与Rootkit
Rootkit会隐藏进程、内核模块或文件,需用专用工具检测。
ps aux查看所有进程,top/htop监控资源占用(异常高CPU/内存的进程需警惕);unhide工具可检测隐藏进程(sudo apt install unhide && sudo unhide proc/sys/brute)。chkrootkit(sudo apt install chkrootkit)扫描系统是否存在rootkit(如/sbin/init是否被替换);rkhunter(sudo apt install rkhunter)检查内核模块、登录记录等,识别潜在rootkit。4. 使用漏洞扫描与安全审计工具
漏洞扫描可发现系统未修复的Exploit漏洞,安全审计可监控系统调用与权限变化。
Linux-Exploit-Suggester(sudo apt install linux-exploit-suggester)根据系统版本提示可能的Exploit;Nessus/OpenVAS(开源)扫描网络漏洞(如未打补丁的服务、弱密码),生成详细报告。auditd(Linux审计框架)监控系统调用、权限变化(如文件修改、用户权限提升),配置规则(sudo auditctl -w /etc/passwd -p wa -k password-changes,监控/etc/passwd的写操作),通过ausearch查看审计日志。5. 定期更新与补丁管理
多数Exploit针对未修复的漏洞,定期更新系统是基础防护。
sudo apt update && sudo apt upgrade更新系统软件包,安装安全补丁;sudo apt install unattended-upgrades && sudo dpkg-reconfigure -plow unattended-upgrades),确保系统及时获取最新安全修复。6. 用户与权限管理
限制用户权限可减少Exploit利用的机会。
/etc/ssh/sshd_config(sudo nano /etc/ssh/sshd_config),设置PermitRootLogin no,更改SSH端口(Port 2222),重启SSH服务(sudo systemctl restart sshd);sudo分配最小必要权限,避免普通用户拥有root权限;systemctl list-units --type=service查看开机启动服务,禁用不必要的服务(sudo systemctl disable <服务名>),防止恶意程序随系统启动。