在进行主机安全检查或处理安全事件时,我们不能避免检查系统的安全性。在Linux安全检查期间,有必要使用相关脚本对系统的安全状况进行全面分析。一方面,有必要尽可能多地收集系统的相关信息,另一方面,当数量较大时,有必要尽可能地提高效率。
由于许多服务器在签入许多安全检查时必须进行全面检查,一方面手动编写脚本效率低下,另一方面要求安全检查人员熟悉要检查的项目。
在这种情况下,我为Linux安全检查编写了一个脚本,主要用于以下场景:
;当Linux主机的安全事件需要综合分析时。
该脚本完成了一段时间,最近在紧急响应组中进行了讨论。发现这个安全检查是每个人的强烈需求,所以我与每个人共享这个检查脚本有两个主要目的:一是提高每个人在Linux安全检查中的效率,释放每个人的能量;另一方面,我希望您能在使用过程中不断发现问题,不断总结缺失的安全检查项目,并帮助改进检查脚本。因此,如果您在使用过程中有任何问题或建议,请及时发给我。
一、检查内容
1. 整体框架
关于Linux安全检查,在这个总结中,我主要需要检查以下内容:
(1)系统安全检查(进程、开放端口、连接、日志等)。)
这个块是目前这个脚本实现的功能。
(2) rootkit
建议使用rootkit杀人工具进行检查,如rkhunter
(3) webshell
是一种相对困难的杀毒技术,这不是这个脚本需要实现的功能。对于这一项检查,可以使用3D屏蔽(网络目录可以安装到视窗中,在Linux下进行检查);
(4)网络日志
(5)流量
此模块主要关注主机的长期流量分析。目前,个人已经使用tshark实现了基本的流量分析,并将在后期做出相应的改进。流量块可以提取流量五倍子、域名系统流量和超文本传输协议流量,然后结合威胁情报数据进行深入分析。在这个后期阶段,如果可能的话,个人将进行相关尝试并共享相关内容。
2. 系统安全检查框架
二、功能实现
1. 功能设计
v 1.2目前可用,V1.3相关功能将在后期得到改进。
此外,操作中可以实现一键安全检查,检查结果可以保存到本机。只需在主机文本中输入相应的知识产权、帐号和密码。人工参与在操作中被最小化。
2. 各脚本功能说明
下载后,整个脚本的目录结构如下:
下面描述了一些脚本。
(1) Checkrules
判断逻辑主要放在两个文件中:一个是Checkrules,格式为dat。建议在这里放入更复杂的判断逻辑,比如下面的TCP危险端口,因为有很多,如果放在buying_linuxcheck.sh中,代码会有些长。以下是TCP高风险端口的判断逻辑,主要基于默认情况下特洛伊木马使用的端口号。判断逻辑相对简单,并且可能存在误报,因此稍后需要手动干预分析。
(2)BUCKING _ LINUX CHECK。SH
Core的函数集合和判断逻辑,相对简单的判断逻辑可以放在这里进行判断。
三、使用
它使用起来相对简单。将此脚本复制到您的一台Linux主机上。您可以使用虚拟机将待检服务器的IP、账号和密码放入hosts.txt目录,然后直接运行,实现一键安全检查。
相关操作
(1)将待检服务器的IP、账户和密码写入hosts.txt文件,格式为:
IP:端口:用户:用户密码:根密码@
其中用户为普通用户的账户,端口为ssh登录端口,uesrpassword为普通账户的密码,rootpassword为root的密码。添加普通用户的唯一原因是一些系统制定了安全策略,不允许root用户直接登录。如果选中的服务器允许root用户直接登录,用户和用户密码可以直接写成root和root密码。
这里选中的服务器允许root用户直接登录,所以直接写root帐户和密码。
(2)运行安全检查脚本:sh登录。sh
安全检查脚本正在后台运行。等一会儿.
(3)当您在远程服务器上看到检查脚本的删除和检查结果时,检查结束。
(4)检查完成后,远程服务器上的结果将保存到本地主机:
四、检查结果说明
检查完成后,解压缩相应结果后的目录结构如下:
1. Check_file
检查的最终结果将被保存。这是什么样子.
2. Log
目录保存着Linux系统日志。当前的网络日志脚本没有实现自动打包的功能。原因是网络日志通常太大,保存的日志可能从运行到现在都是日志。许多日志不需要检查和分析,因此相关人员可以在检查时根据具体情况打包相应的日志。
3. danger_file.txt
保存安全检查中发现的问题:
4. sysfile_md5.txt
保存系统密钥文件或系统文件的MD5值。记录这些关键文件MD5的原因主要有两个功能:第一,在定期检查时,可以与* * *次数的结果进行比较,如果有任何变化会提示;另一个是,这些关键文件的MD5值可以运行到威胁智能库或病毒总库,以找到系统文件的可能替换。
五、代码下载
相关代码已上传至github。如果有必要,你可以自己下载。如果您有任何问题,也可以联系
https://github.com/T0xst/linux
极牛网精选文章《Linux主机安全检查与应急响应》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/5190.html