Linux Minimal安全审计实施指南
Linux Minimal系统因精简特性,安全审计需聚焦基础配置核查、关键风险排查、日志监控强化三大方向,以下是具体步骤:
首先明确系统环境,为后续审计提供基准:
cat /etc/os-release(确认系统版本及内核信息);uname -r(识别内核是否存在已知漏洞);netstat -tulnp(查看当前监听端口及对应服务,排除非法服务);iptables -L -n -v(Debian/Ubuntu)或firewall-cmd --state(CentOS/RHEL,若使用firewalld),确认防火墙是否启用。账户是系统安全的入口,需重点检查账户合法性与权限合理性:
cat /etc/passwd(核对是否有未使用的默认账户,如guest);find /etc -name "*passwd*" -mtime -7(7天内修改过的passwd文件,识别异常新增账户);awk -F: '($2 == "") {print $1}' /etc/shadow(空密码账户会极大增加被爆破风险);find / -perm /6000 -type f -exec ls -l {} \;(SUID/SGID文件可能被滥用提升权限,需删除不必要的此类文件)。异常进程或服务是入侵的常见迹象,需实时核查:
ps -ef(查看是否有未知进程占用高资源);top -b -n 1 | head -n 20(按CPU/内存排序,定位可疑进程);systemctl list-units --type=service(禁用未使用的服务,如telnet、ftp等不安全服务)。文件系统的权限与完整性直接影响系统安全:
find / -type f -mtime -7(7天内修改过的文件,排查未经授权的文件变更);find / -name ".*"(隐藏文件可能隐藏恶意程序,需重点检查/tmp、/dev/shm等目录);sudo apt install clamav clamav-daemon -y(安装ClamAV),sudo freshclam(更新病毒库),sudo clamscan -r /(全盘扫描恶意软件)。日志是追溯安全事件的关键,需定期分析:
cat /var/log/auth.log(Ubuntu/Debian)或cat /var/log/secure(CentOS/RHEL),检查是否有异常登录(如多次失败登录、异地登录);ausearch -m all(若安装了auditd,查看所有审计事件);sudo apt install logwatch -y(安装LogWatch),配置每日邮件发送日志摘要,快速识别异常。结合安全审计结果,落实加固措施:
sudo apt install auditd -y(安装),sudo systemctl start auditd && sudo systemctl enable auditd(启动并设为开机自启);auditctl -w /etc/passwd -p wa -k passwd_changes(监控/etc/passwd的修改操作),auditctl -w /etc/shadow -p wa -k shadow_changes(监控/etc/shadow的修改操作);/etc/ssh/sshd_config,设置PermitRootLogin no,重启SSH服务:sudo systemctl restart sshd;sudo ufw allow ssh(允许SSH端口22),sudo ufw enable(启用防火墙),仅开放必要端口。定期自动化扫描可及时发现潜在风险:
sudo clamscan -r /path/to/scan(指定扫描路径,如/home);sudo openvas-start(启动OpenVAS服务),通过web界面进行漏洞评估;通过以上步骤,可全面覆盖Linux Minimal系统的安全审计需求,及时发现并修复安全漏洞,降低系统被攻击的风险。审计需定期执行(如每周一次),并根据系统环境调整检查项。
