centos定时器如何安全性检查 - 问答

CentOS 定时器安全性检查清单

一快速巡检流程

确认服务与日志可达：检查 crond 是否运行（如 systemctl status crond），并确认 /var/log/cron 或 /var/log/messages 正在记录计划任务相关日志。
全量清点任务清单：
- 系统级：/etc/crontab、/etc/cron.d/ 目录、以及 /etc/cron.hourly/、/etc/cron.daily/、/etc/cron.weekly/、/etc/cron.monthly/ 下的可执行脚本。
- 用户级：对 /etc/passwd 中的每个用户执行 crontab -u <用户> -l；同时核对 /var/spool/cron/ 下对应用户文件是否存在且未被篡改。
重点排查异常特征：命令中是否包含 curl/wget|bash/sh -c|/dev/tcp 等外联或管道拉取执行；是否出现可疑 IP/域名 与高频短周期（如 /5、/1 分钟）任务；是否从 /tmp、/var/tmp、/dev/shm 等临时目录执行脚本。
关联验证：结合进程与网络连接，定位任务对应的可执行文件与来源，避免仅停留在“定时任务”层面。

二重点检查清单与命令示例

检查项	关键路径或命令	关注点与处置
服务与日志	systemctl status crond；tail -f /var/log/cron	服务未运行立即启用；日志中出现失败/异常执行需跟进
系统级配置	cat /etc/crontab；ls -l /etc/cron.d/；run-parts --test /etc/cron.hourly	检查 MAILTO、执行用户、脚本权限；对陌生脚本先离线与复核
用户级任务	for u in $(cut -d: -f1 /etc/passwd); do crontab -u “$u” -l 2>/dev/null; done	发现异常用户或异常任务，先禁用任务再溯源
用户 spool 文件	ls -l /var/spool/cron/	核对属主与权限；异常者先备份后封存
anacron 与周期任务	cat /etc/anacrontab；ls -l /etc/cron.*	笔记本/非7x24主机常见；检查 @daily/@weekly 等条目是否被植入
可疑特征	grep -R "curl	wget
临时目录执行	grep -R “/tmp\|/var/tmp\|/dev/shm” /etc/cron* /var/spool/cron 2>/dev/null	临时目录脚本一律禁止，迁移到受控目录并加固权限
关联进程与网络	ps -ef	grep -E "curl

三高风险特征与处置要点

典型恶意迹象：
- 高频短周期任务（如 /5、/1 分钟）反复拉取脚本执行（如 curl/wget … | sh）。
- 使用 /dev/tcp 直连外部主机绕过本地防火墙。
- 脚本存放在 /tmp、/var/tmp、/dev/shm 等可写目录。
- 任务文件被设置异常属性（如 i/a 不可改/不可删），常见于持久化后门。
处置顺序：
1. 立即隔离：暂停 crond（systemctl stop crond），阻断外联（临时封禁可疑 IP/域名）。
2. 固化证据：备份并归档可疑脚本、任务内容与相关日志。
3. 清理与恢复：删除恶意任务；对被设 i/a 属性的文件执行 chattr -ia <文件> 后降权（如 chmod 400），再恢复 crond。
4. 溯源加固：排查进程、启动项、SSH 公钥、WebShell 与网络连接，完成补丁与访问控制整改。

四加固与长期监控

访问控制：使用 /etc/cron.allow 白名单与 /etc/cron.deny 黑名单，仅允许必要账户使用 crontab；禁用不必要的系统/应用账户。
最小权限：系统级任务以 root 明确执行用户；脚本使用专用低权限账号；禁止从 /tmp 等临时目录直接执行。
文件与目录：对 /etc/cron*、/var/spool/cron 设置严格权限（如 root:root，750/600），并纳入 auditd 监控关键文件的读写与属性变更。
变更审计与备份：对 /etc/cron.d/ 与 /var/spool/cron/ 建立 基线快照 与 定期比对；变更前后留存 diff 与工单记录。
日志与告警：集中采集 /var/log/cron，对包含 curl/wget|/dev/tcp 或高频短周期的任务建立 实时告警；定期抽样复核 /etc/cron.*/ 与 /var/spool/cron/ 的一致性。

0 赞

0 踩