一、学习Linux 系统防御一Linux系统核心防御1. 最小化安装与服务加固核心少开一个服务少一个入口只装必要包卸载无用apt removeDebian系统专用 / yum eraseCentos系统专用关闭 / 禁用不必要服务systemctl stop cups bluetooth systemctl disable cups bluetooth禁用不必要内核模块如 unused 文件系统、协议echo install udf /bin/true /etc/modprobe.d/blacklist.conf2. 系统更新与补丁管理# Debian/Ubuntu apt update apt upgrade -y # CentOS/RHEL yum update -y # 或 dnf建议每周一次高危补丁立即更。3. 账号与权限加固非常关键禁用 root 远程登录vim /etc/ssh/sshd_config PermitRootLogin no systemctl restart sshd清理 / 锁定无用账号userdel -r 用户名 usermod -L 用户名 # 锁定强密码策略PAMvim /etc/pam.d/common-password # 加入 password requisite pam_cracklib.so retry3 minlen10 difok3 ucredit-1 lcredit-1 dcredit-1 ocredit-1普通用户日常操作能用 sudo 绝不 root。4. SSH 加固修改默认端口22→高位端口启用密钥登录、关闭密码登录可选更安全5. 防火墙iptables /nftables/firewalld只放行必要端口SSH、HTTP、HTTPS拒绝所有入站再按需放行# iptables 示例 iptables -P INPUT DROP iptables -A INPUT -p tcp --dport 23456 -j ACCEPT iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp --dport 443 -j ACCEPT iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT6. SELinux / AppArmor强制访问控制防止进程越权即使被入侵也难以提权检查状态sestatus # SELinux aa-status # AppArmor生产环境建议enforcing /complain 模式7. 日志审计与监控auditd rsyslog记录关键操作登录、sudo、文件修改auditctl -w /etc/passwd -p rwxa -k passwd_change集中日志便于追溯与告警。8. 文件系统保护关键文件设为只读/tmp 目录挂载noexec,nosuid,nodev二第三方防御工具1. Fail2ban —— 防 SSH / 服务暴力破解必装原理监控日志多次失败自动封 IP安装# Debian apt install fail2ban -y # CentOS yum install epel-release yum install fail2ban -y配置/etc/fail2ban/jail.local[DEFAULT] bantime 3600 findtime 600 maxretry 5 ignoreip 127.0.0.1 [sshd] enabled true port 23456 logpath /var/log/auth.logsystemctl enable --now fail2ban2. ClamAV —— 开源杀毒 / 恶意软件查杀原理病毒库 扫描查杀木马、病毒、恶意脚本安装apt install clamav clamav-daemon -y freshclam # 更新病毒库 systemctl enable --now clamav-daemon扫描clamscan -r /home3. Rkhunter / Chkrootkit —— Rootkit / 后门检测Rkhunter检测 rootkit、后门、异常文件apt install rkhunter -y rkhunter --update rkhunter --checkChkrootkit轻量 rootkit 扫描apt install chkrootkit -y chkrootkit4. AIDE / Tripwire —— 文件完整性监控FIM原理对系统文件做哈希快照篡改即告警AIDE 安装apt install aide -y aide --init mv /var/lib/aide/aide.db.new /var/lib/aide/aide.db # 定期检查 aide --check5. Lynis —— 主机安全审计 / 加固工具原理一键扫描系统配置漏洞并给出修复建议apt install lynis -y lynis audit system6. OSSEC / Suricata / Snort —— IDS/IPS入侵检测 / 防御OSSEC主机型 IDS日志分析、文件监控、告警Suricata多线程网络 IDS/IPS规则检测恶意流量Snort经典网络 IDS社区规则丰富7. ModSecurity —— Web 应用防火墙WAF防护 SQLi、XSS、Shellshock 等 Web 攻击apt install libapache2-mod-security2 -y # 启用 OWASP 核心规则8. OpenVAS / Nessus —— 漏洞扫描器定期扫描系统 / 服务漏洞提前修复OpenVAS开源免费Nessus商业版规则更全三防御组合系统最小化 定期更新 SSH 改端口 禁 root 强密码权限普通用户 sudo 关键文件chattr i网络防火墙只开必要端口 /tmp noexec工具Fail2ban ClamAV Rkhunter AIDE Lynis监控auditd 集中日志 定期漏洞扫描
如何从一名小白成为网安大神(第十三天)
一、学习Linux 系统防御一Linux系统核心防御1. 最小化安装与服务加固核心少开一个服务少一个入口只装必要包卸载无用apt removeDebian系统专用 / yum eraseCentos系统专用关闭 / 禁用不必要服务systemctl stop cups bluetooth systemctl disable cups bluetooth禁用不必要内核模块如 unused 文件系统、协议echo install udf /bin/true /etc/modprobe.d/blacklist.conf2. 系统更新与补丁管理# Debian/Ubuntu apt update apt upgrade -y # CentOS/RHEL yum update -y # 或 dnf建议每周一次高危补丁立即更。3. 账号与权限加固非常关键禁用 root 远程登录vim /etc/ssh/sshd_config PermitRootLogin no systemctl restart sshd清理 / 锁定无用账号userdel -r 用户名 usermod -L 用户名 # 锁定强密码策略PAMvim /etc/pam.d/common-password # 加入 password requisite pam_cracklib.so retry3 minlen10 difok3 ucredit-1 lcredit-1 dcredit-1 ocredit-1普通用户日常操作能用 sudo 绝不 root。4. SSH 加固修改默认端口22→高位端口启用密钥登录、关闭密码登录可选更安全5. 防火墙iptables /nftables/firewalld只放行必要端口SSH、HTTP、HTTPS拒绝所有入站再按需放行# iptables 示例 iptables -P INPUT DROP iptables -A INPUT -p tcp --dport 23456 -j ACCEPT iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp --dport 443 -j ACCEPT iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT6. SELinux / AppArmor强制访问控制防止进程越权即使被入侵也难以提权检查状态sestatus # SELinux aa-status # AppArmor生产环境建议enforcing /complain 模式7. 日志审计与监控auditd rsyslog记录关键操作登录、sudo、文件修改auditctl -w /etc/passwd -p rwxa -k passwd_change集中日志便于追溯与告警。8. 文件系统保护关键文件设为只读/tmp 目录挂载noexec,nosuid,nodev二第三方防御工具1. Fail2ban —— 防 SSH / 服务暴力破解必装原理监控日志多次失败自动封 IP安装# Debian apt install fail2ban -y # CentOS yum install epel-release yum install fail2ban -y配置/etc/fail2ban/jail.local[DEFAULT] bantime 3600 findtime 600 maxretry 5 ignoreip 127.0.0.1 [sshd] enabled true port 23456 logpath /var/log/auth.logsystemctl enable --now fail2ban2. ClamAV —— 开源杀毒 / 恶意软件查杀原理病毒库 扫描查杀木马、病毒、恶意脚本安装apt install clamav clamav-daemon -y freshclam # 更新病毒库 systemctl enable --now clamav-daemon扫描clamscan -r /home3. Rkhunter / Chkrootkit —— Rootkit / 后门检测Rkhunter检测 rootkit、后门、异常文件apt install rkhunter -y rkhunter --update rkhunter --checkChkrootkit轻量 rootkit 扫描apt install chkrootkit -y chkrootkit4. AIDE / Tripwire —— 文件完整性监控FIM原理对系统文件做哈希快照篡改即告警AIDE 安装apt install aide -y aide --init mv /var/lib/aide/aide.db.new /var/lib/aide/aide.db # 定期检查 aide --check5. Lynis —— 主机安全审计 / 加固工具原理一键扫描系统配置漏洞并给出修复建议apt install lynis -y lynis audit system6. OSSEC / Suricata / Snort —— IDS/IPS入侵检测 / 防御OSSEC主机型 IDS日志分析、文件监控、告警Suricata多线程网络 IDS/IPS规则检测恶意流量Snort经典网络 IDS社区规则丰富7. ModSecurity —— Web 应用防火墙WAF防护 SQLi、XSS、Shellshock 等 Web 攻击apt install libapache2-mod-security2 -y # 启用 OWASP 核心规则8. OpenVAS / Nessus —— 漏洞扫描器定期扫描系统 / 服务漏洞提前修复OpenVAS开源免费Nessus商业版规则更全三防御组合系统最小化 定期更新 SSH 改端口 禁 root 强密码权限普通用户 sudo 关键文件chattr i网络防火墙只开必要端口 /tmp noexec工具Fail2ban ClamAV Rkhunter AIDE Lynis监控auditd 集中日志 定期漏洞扫描
