系统日志审查
检查/var/log/secure(SSH登录日志)、/var/log/messages(系统核心日志)等关键日志文件,使用grep命令过滤error、failed、unauthorized等关键词,寻找异常登录尝试(如多次密码错误)、权限提升(如sudo滥用)或可疑进程活动(如非root用户执行高权限命令)。也可通过journalctl -xe查看实时系统日志,快速定位近期异常事件。
网络流量监控
使用tcpdump(命令行工具)或Wireshark(图形化工具)捕获网络接口数据包,分析异常通信模式——如高频端口扫描(如连续扫描1-1024端口)、未授权的外部连接(如连接到陌生IP的22/3306端口)、大量数据外传(如curl或wget向陌生域名发送敏感数据)。同时检查防火墙(firewalld/iptables)日志,确认是否有意外的规则更改或被拒绝的连接请求。
系统完整性检查
通过Tripwire、AIDE等文件完整性监控工具,对比系统关键文件(如/bin、/sbin下的二进制文件、/etc/passwd//etc/shadow等配置文件)的当前状态与基准值,识别未经授权的修改(如ls命令被替换为恶意程序、/etc/passwd新增未授权账户)。定期运行这些工具,确保系统文件未被篡改。
安全漏洞扫描
使用Nessus(商业,功能全面)、OpenVAS(开源,支持多种漏洞数据库)、Nmap(网络探测+漏洞扫描)等工具定期扫描系统,检测已知漏洞(如内核漏洞、Apache/Nginx未修复的CVE漏洞)。例如,Nessus可通过GUI界面选择扫描目标,生成详细漏洞报告(含CVSS评分、修复建议);Nmap可通过-sV参数探测服务版本,结合--script=vuln检测漏洞。
账户与权限审计
审计/etc/passwd文件,检查是否存在未授权账户(如新增的test账户)、异常UID/GID(如UID=0的非root账户)或被修改的用户信息(如root用户的shell被改为/bin/bash以外的路径)。同时确认SELinux状态(getenforce命令),确保其处于Enforcing模式(默认开启),避免攻击者通过权限提升漏洞绕过系统限制。
恶意软件检测
使用ClamAV(开源反病毒工具)扫描系统文件,检测恶意软件(如病毒、木马);通过rkhunter(Rootkit检测工具)、chkrootkit(Rootkit扫描工具)查找隐藏的Rootkit(如lrk3、phalanx),这些工具可检测系统二进制文件是否被篡改、是否存在可疑的内核模块。
进程与文件行为监控
使用ps aux、top命令查看当前运行的进程,识别异常进程(如占用高CPU/内存的nc(netcat)反向隧道进程、无父进程的init进程);通过lsof命令检查进程打开的文件(如lsof -i :22查看SSH连接),确认是否有进程访问敏感文件(如/etc/shadow)。结合auditd(Linux审计守护进程),监控关键文件(如/etc/passwd)的读写操作,记录可疑行为。
自动化工具整合
部署Lynis(开源安全审计工具),自动化执行系统强化检查(如SSH配置、防火墙规则、用户权限),生成安全报告并提出修复建议。通过cron定时任务定期运行上述工具(如每天凌晨扫描系统漏洞、每小时检查日志),实现持续监控,及时发现潜在Exploit。