如何用Ubuntu OpenSSL进行安全审计

Ubuntu 上使用 OpenSSL 进行安全审计的实操清单

一 目标与总体思路

• 明确审计范围：覆盖OpenSSL 版本与补丁状态、证书与密钥生命周期、服务器 SSL/TLS 配置强度、系统层对 OpenSSL 文件与进程的访问审计。
• 采用“工具 + 配置 + 持续监控”的组合：用 OpenSSL 命令行做连通性与配置核查，用 auditd 记录对证书、私钥、配置文件的访问，用 Lynis/AIDE 做系统级基线核查与完整性校验，形成闭环整改与复核。

二 版本与补丁核查

• 查看已安装包与版本：
  • 命令：dpkg -l | grep "openssl"（优先以发行版包版本为准，而非仅看 openssl version 的输出）。
• 更新与补丁：
  • 命令：sudo apt update && sudo apt upgrade，必要时仅升级 OpenSSL：sudo apt install --only-upgrade openssl libssl1.1（包名随版本而异）。
• 历史高危漏洞快速自检（示例：Heartbleed，CVE-2014-0160）：
  • 背景：漏洞存在于 OpenSSL 1.0.1–1.0.1f，修复于 1.0.1g；若系统曾运行受影响版本，需更换证书与密钥并重启相关服务。
  • 快速探测（仅作验证思路，不替代全面扫描）：echo | openssl s_client -connect example.com:443 -tlsextdebug 2>&1 | grep -i 'heartbeat'（若返回 heartbeat 扩展，说明对端可能启用该特性，需结合版本与补丁状态判断）。

三 证书与密钥审计

• 本机证书/私钥/CSR 信息核验：
  • 查看证书详情：openssl x509 -in server.crt -text -noout
  • 查看有效期：openssl x509 -in server.crt -enddate -noout
  • 查看指纹：openssl x509 -in server.crt -fingerprint -noout
  • 查看私钥信息：openssl rsa -in server.key -text -noout
• 远程主机证书与链核验（SNI 场景）：
  • 获取并显示证书：echo | openssl s_client -servername your.domain -connect your.domain:443 2>/dev/null | openssl x509
  • 查看颁发者与主题：... | openssl x509 -noout -issuer / -subject
  • 查看有效期：... | openssl x509 -noout -dates
• 证书与密钥匹配性校验（公钥哈希一致）：
  • 命令：
    • openssl pkey -pubout -in server.key | openssl sha256
    • openssl req -pubkey -in server.csr -noout | openssl sha256
    • openssl x509 -pubkey -in server.crt -noout | openssl sha256
• 审计要点：
  • 证书在有效期内、链完整（含中间证书）、密钥长度合规（RSA ≥ 2048 位或 ECC ≥ 256 位）、无过期/自签名用于生产、私钥600 权限且仅属必要用户/组。

四 服务器 SSL TLS 配置审计

• 协议与套件基线（PCI DSS 与通用最佳实践）：
  • 仅启用 TLS 1.2/1.3；禁用 SSLv2/3、TLS1.0/1.1。
  • 优先使用 AEAD 套件（如 TLS_AES_128_GCM_SHA256 等），禁用 RC4、DES、3DES、NULL、EXPORT 等弱套件。
  • 启用 ECDHE/DHE 实现 PFS（完美前向保密）；RSA 签名密钥 ≥ 2048 位或 ECC ≥ 224 位。
  • 启用 OCSP Stapling、HSTS，禁用不安全重协商，正确配置 SNI。
• 手动核查示例（OpenSSL）：
  • 查看协商协议与套件：echo | openssl s_client -connect your.domain:443 -servername your.domain 2>/dev/null | grep -E 'Protocol|TLSv| Cipher'
  • 仅测试 TLS1.2/1.3（按需）：openssl s_client -connect your.domain:443 -tls1_2 或 -tls1_3
• 自动化评估：
  • 使用 Qualys SSL Labs Server Test（输入域名）获取配置评分与整改清单，目标 A/A+。

五 系统层审计与加固

• 文件与进程访问审计（auditd）：
  • 启动与状态：sudo service auditd start、sudo service auditd status
  • 典型规则（按需细化路径与用户）：
    • 监控证书/私钥/配置：sudo auditctl -w /etc/ssl/ -p wa -k ssl_config
    • 监控 OpenSSL 二进制与库：sudo auditctl -w /usr/bin/openssl -p x -k openssl_exec；sudo auditctl -w /usr/lib/x86_64-linux-gnu/libssl.so* -p r -k libssl
  • 查询与分析：sudo ausearch -k ssl_config、sudo aureport -f
• 完整性校验与基线：
  • AIDE：初始化与定期校验（/etc/ssl、/usr/bin/openssl、/usr/lib/libssl* 等关键路径）。
  • Lynis：系统级安全基线评估，关注加密相关项与配置建议。
• 配置与访问控制：
  • 审核 /etc/ssl/openssl.cnf 等配置文件的权限与可信 CA 目录；仅保留必要模块与服务；对私钥实施最小权限与定期轮换；变更前备份并保留审计轨迹。