如何识别并应对CentOS Exploit

识别与应对 CentOS Exploit 的实用指南

一快速识别可疑迹象

日志异常：重点查看 /var/log/secure（SSH 登录、sudo 使用）与 /var/log/messages，检索关键字如 fail、error、refused、attack、invalid user 等；配合 journalctl 检索 systemd 日志的时间线异常。
性能与行为：出现 CPU/内存突增、大量未知进程（如 /tmp、/dev/shm 下可疑可执行文件）、系统时间被修改、频繁重启等。
网络连接：存在 异常外连/入连、大量数据传输、连接到已知恶意 IP/域名、非常见端口会话。
账户与权限：发现 未知用户、UID 0 异常账户、sudoers 被篡改、SSH 公钥异常增加。
配置与完整性：关键文件（如 /etc/passwd、/etc/shadow、/etc/ssh/sshd_config）哈希变更、SUID/SGID 异常文件增多。
扫描与审计：使用 Nmap、OpenVAS、Nessus 做漏洞与暴露面扫描；用 Lynis 做系统加固审计；用 Linux-Exploit-Suggester 评估本地提权风险。

二立即处置与隔离

三取证分析与漏洞修复

取证要点：
- 进程与启动项：ps -ef、top、systemctl list-units；检查 /etc/rc.local、/etc/init.d、cron/crontab（含 /var/spool/cron）、systemd 服务单元 的异常新增。
- 网络与连接：netstat -antupl、ss -lntp、lsof -i；抓包取证 tcpdump。
- 用户与权限：/etc/passwd、/etc/shadow、/etc/sudoers、/root/.ssh/authorized_keys 的异常。
- 文件完整性：对关键文件做 哈希校验 与基线比对，排查 SUID/SGID 异常文件。
修复与恢复：
- 更新与补丁：优先修补相关组件；在 CentOS 7 可使用 yum update --security 仅安装安全更新，或用 yum updateinfo list 查看可用安全公告；如需自动化，启用 yum-cron 按计划应用安全补丁。
- 典型 CVE 修复示例：
  - CVE-2021-3156（sudo）：升级 sudo 至修复版本。
  - CVE-2021-4034（Polkit/pwnkit）：升级 polkit 相关 RPM 包。
  - CVE-2019-16905（OpenSSH）：升级 OpenSSH 包。
- 重启与验证：内核/关键组件更新后重启；恢复服务前再次进行 全面安全扫描 与基线核查。

四加固与长期预防

最小化与收敛：遵循 最小安装原则，关闭 不必要服务与端口；通过 systemctl 与 netstat 核查启停状态与暴露面。
身份与访问控制：禁用 root 远程登录，使用 SSH 密钥 替代口令；限制 AllowUsers/AllowGroups；必要时用 /etc/hosts.allow、/etc/hosts.deny 做来源限制。
防火墙与端口：用 firewalld/iptables 仅开放必要端口（如 22/80/443），对管理口实施 来源白名单。
强制访问控制：启用并保持 SELinux 为 enforcing，对关键服务做最小权限策略。
入侵防护：部署 Fail2ban 抑制暴力破解；结合 IDS/IPS（如 Snort）提升威胁发现能力。
恶意代码防护：定期用 ClamAV 扫描；Web 侧可配合 Nikto 等做应用层体检。
日志与监控：集中采集 /var/log/secure、/var/log/messages 等日志，结合 SIEM 做关联告警与态势感知。
备份与演练：对关键数据 定期离线/异地备份，并进行 恢复演练，确保可在可控窗口内恢复业务。

五常用命令与工具清单

安全提示

涉及生产系统与敏感数据时，操作前务必做好 完整备份 与 变更记录，并在 维护窗口 内执行；如影响范围大或存在数据泄露风险，建议 寻求专业安全团队 协助处置与取证。

最新问答