位置: 编程技术 - 正文

Linux服务器安全事件应急响应排查方法总结(linux服务器安全配置)

编辑:rootadmin

推荐整理分享Linux服务器安全事件应急响应排查方法总结(linux服务器安全配置),希望有所帮助,仅作参考,欢迎阅读内容。

文章相关热门搜索词:linux服务器安全软件,linux服务器安全策略详解,linux服务器安全策略有哪些,linux服务器安全加固,linux服务器安全策略有哪些,linux服务器安全设置,linux服务器安全策略有哪些,linux服务器安全策略有,内容如对您有帮助,希望把文章链接给更多的朋友!

Linux是服务器操作系统中最常用的操作系统,因为其拥有高性能、高扩展性、高安全性,受到了越来越多的运维人员追捧。但是针对Linux服务器操作系统的安全事件也非常多的。攻击方式主要是弱口令攻击、远程溢出攻击及其他应用漏洞攻击等。我的VPS在前几天就遭受了一次被恶意利用扫描其他主机SSH弱口令安全问题。以下是我针对此次攻击事件,结合工作中Linux安全事件分析处理办法,总结Linux安全应急响应过程中的分析方法。

一、分析原则

1.重要数据先备份再分析,尽量不要在原来的系统中分析;2.已经被入侵的系统都不再安全,如果条件允许最好采用第三方系统进行分析

二、分析目标

1.找到攻击来源IP2.找到入侵途径3.分析影响范围4.量化影响级别

三、数据备份采集

1.痕迹数据永远是分析安全事件最重要的数据

在分析过程中,痕迹数据永远是最重要的数据资料。所以第一件事自然是备份相关痕迹数据。痕迹数据主要包含如下几点:

Linux服务器安全事件应急响应排查方法总结(linux服务器安全配置)

1.系统日志:message、secure、cron、mail等系统日志;2.应用程序日志:Apache日志、Nginx日志、FTP日志、MySQL等日志;3.自定义日志:很多程序开发过程中会自定义程序日志,这些日志也是很重要的数据,能够帮我们分析入侵途径等信息;4.bash_history:这是bash执行过程中记录的bash日志信息,能够帮我们查看bash执行了哪些命令。5.其他安全事件相关日志记录

分析这些日志的时候一定要先备份,我们可以通过tar压缩备份好,再进行分析,如果遇到日志较大,可以尽可能通过splunk等海量日志分析工具进行分析。以下是完整备份var/log路径下所有文件的命令,其他日志可以参照此命令:复制代码代码如下:#备份系统日志及默认的httpd服务日志tar -cxvf logs.tar.gz /var/html</p><p>#备份lastlast > last.log</p><p>#此时在线用户w > w.log2.系统状态

系统状态主要是网络、服务、端口、进程等状态信息的备份工作:复制代码代码如下:#系统服务备份chkconfig --list > services.log</p><p>#进程备份ps -ef > ps.log</p><p>#监听端口备份netstat -utnpl > port-listen.log</p><p>#系统所有端口情况netstat -ano > port-all.log3.查看系统、文件异常主要针对文件的更改时间、属组属主信息问题,新增用户等问题,其他可以类推:复制代码代码如下:#查看用户信息:cat /etc/passwd</p><p>#查找最近5天内更改的文件find -type f -mtime -5

4.最后扫一下rootkitRootkit Hunter和chkrootkit都可以

四、分析方法

大胆猜测是最重要的,猜测入侵途径,然后进行分析一般都会事半功倍。一般来说,分析日志可以找到很多东西,比如,secure日志可以查看Accept关键字;last可以查看登录信息;bash_history可以查看命令执行信息等,不同的日志有不同的查看方式,最好是系统管理员的陪同下逐步排查,因为系统管理员才最懂他的服务器系统。此处不做太多赘述。

五、分析影响

根据服务器的用途、文件内容、机密情况结合数据泄漏、丢失风险,对系统使用者影响等进行影响量化,并记录相关安全事件,总结分析,以便后期总结。如果已经被进行过内网渗透,还需要及时排查内网机器的安全风险,及时处理。

六、加固方法

已经被入侵的机器,可以打上危险标签,最直接最有效的办法是重装系统或者系统还原。所以经常性的备份操作是必不可少的,特别是源代码和数据库数据。通过分析的入侵途径,可以进行进一步的加固处理,比如弱口令和应用漏洞等。

清理Linux系统垃圾文件操作方法图文步骤详解 在Linux系统中管理垃圾文件并没那么简单,虽然产生的Linux垃圾文件比较少,但随着对Linux系统的操作难免会产生各种软件安装包、软件残余、浏览器缓

Linux系统下怎么创建和管理逻辑卷? 逻辑卷可以动态调整磁盘容量,从而提高磁盘管理的灵活性,本次主要讲解的是逻辑卷(LVM)的创建,LVM逻辑卷的创建遵循一下思路:PVVGLV格式化,挂载

Linux下修复inittab文件丢失的两种方法 /etc/inittab文件是linux系统初始化配置文件,该文件出现错误或者丢失时,可能导致无法启动系统,启动系统时会提示出INITNoinittabfilefonud的错误提示信息。

标签: linux服务器安全配置

本文链接地址:https://www.jiuchutong.com/biancheng/368189.html 转载请保留说明!

上一篇:怎么恢复Linux root密码?Linux root恢复的两种解决办法(怎么恢复手机桌面时间和日期)

下一篇:清理Linux系统垃圾文件操作方法图文步骤详解(linux 清除垃圾)

  • 小型微利企业税率2023
  • 固定资产什么时候开始折旧
  • 应付账款周转率和存货周转率公式
  • 购买金税盘需要带什么
  • 补发工资是否计入工资
  • 普通发票扣税
  • 承租人转租是否要交税
  • 固定资产暂估入账的账务处理
  • 提前预支费用怎么写
  • 用于在建工程的原材料进项税额可以抵扣吗
  • 银行利息的现金流量项目是什么
  • 购买设备送给客户帐务处理是怎样的?
  • 工程款为什么要扣税
  • 民间非营利组织会计制度
  • 5.0车船税和交强险一年多少钱
  • 雇主责任险会计分录
  • 小微企业所得税优惠政策最新2022
  • 单独计价入账的土地是固定资产吗
  • 国家税务局如何登录
  • 金税盘初始密码忘记了怎么办
  • 发生额对照表
  • 大型机械拆装
  • 赎回理财产品的利息怎么做账
  • 总公司以固定资产出资入股,固定资产是不是新公司的
  • dedecms主页修改
  • 预计负债属于什么类
  • 系统托盘开不开
  • 挂证不付工资只代缴社保账务处理
  • PHP:bzcompress()的用法_Bzip2函数
  • 如何安装wordpress图文教程
  • 原材料明细账有记税吗
  • 非正常损失会计利润调整
  • PHP:imageistruecolor()的用法_GD库图像处理函数
  • 1.启动前端项目怎么做
  • 向投资者分配现金股利 为什么会导致所有者权益减少?
  • python字符串操作作业
  • 阿里云盘 icloud
  • 户外电源需要要充电吗
  • 第十章光结局和夜结局
  • php array search
  • 购买员工宿舍用品报销
  • 企业所得税是怎么产生的
  • 以前年度损益调整借贷方向
  • 股东借款转增资本公积要验资吗
  • 企业银行电子回单一般什么时候打印
  • 一般纳税人会计做账的基本流程
  • 个人劳务费用
  • 购买实验材料入什么科目
  • 收货和入库的区别
  • 银行主账户和子账户能独立使用吗
  • 没进项发票开销项发票是可以吗?
  • 暂估入库跨年账务危险
  • 收到退回留抵退税
  • 专票不小心印上划痕
  • 已提过5个月折旧要进行固定资产一次性扣除吗?
  • 银行贷款直接给钱吗
  • 预计负债转回对所得税费用的影响
  • 不动产登记流程有哪些
  • 商业汇票的票样
  • 飞机票退票费如何开票
  • 2023最新税收优惠政策有哪些
  • 哪些个体户要报残保金
  • 小规模与一般纳税人的界定
  • 本月增加的固定资产本月可以进行部门转移
  • 年初要新建帐套吗
  • mysql coalesce函数用法
  • 的四个步骤
  • win10系统家庭组如何关闭家庭组访问用户名密码
  • [Unity3D]Stencil buffer失效了怎么办
  • vbs和批处理区别
  • python图像移动
  • Unity3D游戏开发基础
  • 置顶txt
  • c# unity ioc
  • 客户端脚本错误怎么解决
  • 发票查询结果打印怎么弄
  • 车辆购置税查询不到
  • 印刷行业费用标准
  • 天津静海离天津市区多远
  • 内蒙民生认证系统
  • 免责声明:网站部分图片文字素材来源于网络,如有侵权,请及时告知,我们会第一时间删除,谢谢! 邮箱:opceo@qq.com

    鄂ICP备2023003026号

    网站地图: 企业信息 工商信息 财税知识 网络常识 编程技术

    友情链接: 武汉网站建设