怎样检测Debian漏洞

Debian漏洞检测与处置流程

一 资产与基线清点

• 明确系统与内核版本、已安装软件及来源仓库，建立可复现的基线清单：
  • 查看内核与架构：uname -r
  • 查看已安装内核包：dpkg -l | grep linux-image
  • 查看软件源是否包含安全仓库（/etc/apt/sources.list 与 /etc/apt/sources.list.d/*.list 中应包含 security.debian.org 的条目）
  • 生成软件清单：dpkg -l > pkg-list.txt
  • 记录关键配置文件校验值（示例）：sha256sum /etc/passwd /etc/ssh/sshd_config
    以上有助于后续核对是否存在未修补的安全更新与异常变更。

二 本地漏洞检测

• 软件包层面漏洞盘点（Debian 官方方式）
  • 安装并使用 debsecan 对照已安装软件包与 Debian 安全追踪库，列出受影响的 CVE 与修复版本：
    • 安装：sudo apt-get install debsecan
    • 查看：debsecan --suite $(lsb_release -sc) --format detail（将 $(lsb_release -sc) 替换为你的发行代号，如 bookworm）
• 本地安全审计与文件完整性
  • 系统审计与合规：sudo lynis audit system
  • 文件完整性基线：sudo aideinit 初始化；后续用 sudo aide --check 对比变更
• CPU 侧侧信道缺陷自检
  • 安装并运行：sudo apt-get install spectre-meltdown-checker && spectre-meltdown-checker
• 日志与可疑行为排查
  • 集中查看日志：sudo journalctl -xe
  • 重点文件：/var/log/auth.log、/var/log/syslog、/var/log/kern.log、/var/log/dpkg.log
    以上组合可快速发现本地补丁缺口、配置弱点与潜在入侵痕迹。

三 网络与主机漏洞扫描

• 端口与服务识别
  • 快速扫描：sudo nmap -sS -Pn -T4 -p- -A -v <目标IP>（生产环境请先获授权）
• 漏洞扫描器
  • 全面漏洞评估：OpenVAS/GVM（安装后创建任务对目标主机或网段进行扫描）
  • 开源轻量扫描：OSV-Scanner、RapidScan（适合对系统与依赖做快速体检）
• Web 应用层
  • 动态应用安全测试：OWASP ZAP（对 Web 站点进行爬行与主动/被动扫描）
    网络扫描应与内部合规流程配合，避免对生产业务造成干扰。

四 漏洞处置与加固

• 优先修补
  • 更新索引与升级：sudo apt update && sudo apt upgrade -y
  • 仅安装安全更新（试运行确认）：sudo unattended-upgrade --dry-run -d，确认无误后执行：sudo unattended-upgrade -d
  • 内核安全更新后重启：sudo reboot，并用 uname -r 验证新内核生效
• 自动安全更新
  • 安装并启用自动安全更新：sudo apt install unattended-upgrades && sudo dpkg-reconfigure unattended-upgrades
• 最小化暴露面
  • 防火墙：sudo ufw enable，仅放行必要端口（如 22/80/443）
  • SSH 加固（/etc/ssh/sshd_config）：PermitRootLogin no、PasswordAuthentication no、MaxAuthTries 3，重启 ssh 服务生效
• 入侵痕迹复核
  • 复核日志：journalctl -xe、/var/log/auth.log 等，关注异常登录与提权行为
    通过“检测—修补—验证—复盘”的闭环，降低在修复窗口期的风险暴露。

五 持续化与合规建议

• 持续监测
  • 定期运行 debsecan 与 lynis，对新增 CVE 与系统配置漂移进行告警
  • 启用 Logwatch/Fail2ban 等工具进行日志分析与暴力破解阻断
• 合规与审计
  • 使用 OpenSCAP 对照 CIS 等基准进行合规扫描与整改
• 变更与应急
  • 重要变更前备份关键数据与配置；修补后保留回退方案（如保留旧内核、可快速回滚）
    持续化流程能显著降低长期暴露风险并提升审计可追溯性。