Linux exploit攻击如何防范与应对

Linux Exploit 攻击的防范与应对

一 预防加固基线

• 保持系统与软件及时更新：启用官方仓库的自动安全更新（如 yum/dnf、apt），优先修补内核与关键服务；对关键业务建立变更窗口与回滚预案。
• 最小权限与身份鉴别：禁用或删除不必要的默认账号；通过 PAM 限制 su 仅允许特定组使用；为 root 设置强口令并禁止远程登录；启用强密码策略与口令到期（如 chage）；日常以普通用户登录，管理操作通过 sudo 授权。
• 服务与网络最小化：仅开放必要端口与服务；用 firewalld/iptables 实施白名单；对 SSH 限制来源 IP、禁用密码登录、启用密钥认证；禁用过时协议（如 Telnet/FTP），必要时以 TCP Wrappers 做二次访问控制。
• 文件系统与启动安全：清理或移除不必要的 SUID/SGID 程序；对关键文件（如 /etc/passwd、/etc/shadow、/etc/group、/etc/gshadow）设置不可变属性（chattr +i）；限制 root 可登录终端（/etc/securetty）；按需配置 NFS 为只读并启用 root_squash；禁止 Ctrl+Alt+Del 本地重启；精简登录横幅避免泄露版本信息。
• 强制访问控制：启用并保持 SELinux 处于 Enforcing 模式，优先通过策略调优而非直接关闭，降低提权与横向移动风险。

二 入侵检测与监控

• 集中化日志与审计：统一采集 /var/log/（如 secure、auth、messages）与关键应用日志到 SIEM，设置告警规则（如多次失败登录、sudo 提权、异常 suid 执行、shadow 访问等）。
• 主机行为监控：部署 auditd 对敏感路径与关键操作建立审计规则（如监控 /etc/cron.d、/etc/shadow、/usr/bin/sudo 等）；使用 Falco 检测容器内外的异常进程/提权行为；用 Wazuh/OSSEC 做文件完整性校验与入侵检测。
• 进程与任务可见性：利用 pspy 观察可疑的定时任务、脚本执行与进程派生，辅助发现计划任务劫持与隐藏后门。

三 事件响应流程

• 隔离与止血：第一时间将疑似受感染主机从网络隔离（断网/VLAN 隔离），关闭非必要端口与服务，防止扩散。
• 取证与影响评估：保全关键证据（系统日志、审计日志、网络连接、可疑文件与定时任务等）；用 netstat/tcpdump 等分析可疑连接与流量；梳理受影响范围与数据泄露可能性。
• 清除与修复：终止恶意进程与持久化机制（可疑 cron、systemd 服务、rc.local、SSH 公钥等）；清理异常 SUID/SGID 与可疑内核模块；针对漏洞升级内核/软件包并重启；必要时重建 initramfs 与 GRUB2 配置，确保启动链安全。
• 恢复与验证：在隔离区完成功能回归与安全检测后再恢复上线；开展全面漏洞扫描（如 OpenVAS/Nessus）与配置基线核查；更新防火墙与访问控制策略。
• 复盘与改进：输出事件报告与根因分析，完善监控告警、基线策略与补丁流程；开展周期性红队演练与安全意识培训。

四 常见提权向量与快速检查

五 安全配置示例

• 限制 su 仅 wheel 组可用（/etc/pam.d/su）
  • auth sufficient pam_rootok.so
  • auth required pam_wheel.so group=wheel
• 审计 cron 配置变更（auditd）
  • auditctl -w /etc/cron.d -p wa -k cron_changes
• 清理不必要 SUID（示例）
  • find / -perm -4000 -type f -exec chmod u-s {} ;
• 加固 NFS 导出（/etc/exports）
  • /data 192.168.1.0/24(ro,root_squash)
• 限制 root 远程登录（/etc/securetty 注释 tty1-tty6 之外的项，或仅保留本地控制台）
  以上命令需结合业务与合规要求审慎执行，变更前在测试环境验证并准备回滚方案。