应急响应系统之 Linux 主机安全检查
副问题[/!--empirenews.page--]
我们在做主机安详搜查或安详变乱处理时,停止不了要去搜查体系的安详环境。在举办 Linux 安详搜查时,必要行使相干的剧本对体系的安详环境举办全面说明,一方面必要尽也许的网络体系的相干信息,另一方面在数目较多的时辰尽也许的进步服从。因为在多次的安详搜查中碰着搜查时都是几十台处事器要做一个全面搜查的环境,假如人工手写剧本的话,一方面服从较低另一方面必要安详搜查者认识所必要搜查的项。在这种环境下,本人写了一个 Linux 安详搜查的剧本,该剧本首要在以了局景行使:
该剧本完成有一段时刻,最近在应急相应群里接头,发明这块的安详搜查是各人的一个强需求,因此把该搜查剧本共享给各人,共享的目标首要以两个:一是进步各人在 Linux 安详搜查时的服从,开释各人的精神;另一方面但愿各人在行使的进程中可以不绝地发明题目,不绝的总结缺傲幽安详搜查项,帮忙完美该搜查剧本。以是各人在行使进程中有任何题目或提议接待实时同步给我。 搜查内容 1. 整体框架 关于 Linux 安详搜查,这内里我总结首要必要搜查以下内容:
2. 体系安详搜查框架 3. 成果实现 成果计划:
今朝到 V1.2 版本,后期完美 V1.3 相干的成果。 其它,操纵上可以实现一键举办安详搜查,并将搜查后的功效生涯到本机。只必要在hosts文本中输入响应的IP、账号、暗码。操纵上人工参加最小化。 4. 各剧本成果声名 下载后相干整个剧本的目次布局如下所示:
下面针对个中部门剧本举办先容 (1) Checkrules 判定逻辑首要放在两个文件中:一个是 checkrules 中,名目为 dat,这内里提议将较量伟大的判定逻辑放在这里,如下面的 TCP 伤害端口这块,由于较量多,假如放在 buying_linuxcheck.sh 中则代码有些冗长,下面是 TCP 高危端口的判定逻辑,首要照旧按照木马默认行使的端标语,这内里判定的逻辑相对简朴,也许会存在误报的环境,所往后续必要人工参与说明。 (2) buying_linuxcheck.sh 焦点的成果网络与判定逻辑,较量简朴的判定逻辑可以放在这内里举办判定。 5. 行使 行使较量简朴,将本剧本拷贝到本身一台 Linux 主机上,可以行使假造机,将必要被搜查的处事器的 IP、账号、暗码放到 hosts.txt 目次中,直接运行即可实现一键安详搜查。 相干操纵如下: (1) 将必要被搜查的处事器 IP、账号、暗码写入到 hosts.txt 文件中,名目为
个中 user 为平凡用户的账号,port 为 ssh 登录端口, uesrpassword 为平凡账号的暗码, rootpassword 为 root 的暗码, 只以是加个平凡用户是由于有的体系做了安详计策,不应承 root 直接登录,假如被搜查的处事器应承 root 直接登录,可以直接把 user 和 userpassword 写成 root 以及 root 暗码 这内里被搜查的处事器应承 root 直接登录,因此直接写 root 账号和暗码 (2) 运行安详搜查剧本,
(编辑:河北网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |