一、基础准备工作:更新系统与识别环境 在检查漏洞前,需确保系统为最新状态,减少已知漏洞风险。使用以下命令更新系统及查看补丁信息:
sudo yum update更新所有可用的安全补丁;cat /etc/redhat-release或uname -a确认系统版本;rpm -qa | grep patch检查已安装的系统补丁,确保无遗漏。二、常用漏洞检测工具及使用方法
OpenVAS是功能强大的开源漏洞评估系统,支持检测系统、应用程序及网络漏洞。安装步骤:
sudo yum install openvas安装;sudo systemctl start openvas-scanner、sudo systemctl start openvas-manager;https://localhost:9392(默认端口)登录Web界面,创建扫描任务并执行。Nessus是全球使用最广泛的漏洞扫描工具,支持远程/本地扫描。安装步骤:
Nessus-8.13.1-es7.x86_64.rpm);sudo rpm -ivh Nessus-*.rpm安装;sudo systemctl start nessusd,设置开机自启动;https://localhost:8834激活账号(需注册),创建扫描任务即可。Lynis专注于Linux系统安全审计,检测配置缺陷、未授权服务及弱密码等问题。使用方法:
sudo yum install lynis;sudo lynis audit system;sudo lynis show reports,报告中会标注高风险漏洞及修复建议。Trivy是轻量级开源工具,适合扫描CentOS镜像及系统漏洞。安装步骤:
/etc/yum.repos.d/trivy.repo,写入[trivy] name=Trivy repository baseurl=https://knqyf263.github.io/trivy-repo/rpm/releases/$releasever/$basearch/ gpgcheck=0 enabled=1;sudo yum install trivy;sudo trivy fs --security-checks vuln /(扫描本地系统);trivy image centos:7(替换为目标镜像)。支持按严重程度(--severity HIGH,CRITICAL)过滤结果。Nmap用于扫描开放端口及检测常见漏洞(如未授权访问)。安装:sudo yum install nmap;
基本扫描:nmap -sV -O localhost(扫描本地开放端口及服务版本);
检测漏洞:结合NSE脚本(如nmap --script vuln localhost),识别已知漏洞。
三、手动检查与辅助手段
yum list installed,核对是否有已知漏洞的软件包(可通过CVE数据库查询);netstat -tulnp或ss -tulnp,关闭非必要的高危端口(如22端口需修改SSH配置,禁用root登录);systemctl list-unit-files --state=enabled,禁用不必要的服务(如telnet、ftp)。journalctl -u sshd或grep 'fail' /var/log/secure,检查是否有异常登录尝试(如多次失败登录);journalctl -xe或/var/log/messages,关注系统错误、警告信息(如内核漏洞触发的内核崩溃日志)。sudo chkrootkit、sudo rkhunter --check,识别系统中的隐藏后门;sudo clamscan -r /(ClamAV扫描),清理系统中的恶意程序。四、持续维护建议
sudo yum install yum-cron,编辑配置文件启用apply_updates = yes),及时应用安全补丁;setenforce 1启用Enforcing模式)、防火墙(firewalld配置规则)限制访问,降低漏洞利用风险。