Debian漏洞应急响应

Debian漏洞应急响应手册

一 目标与准备

• 目标：在最短时间内完成遏制—清除—恢复—复盘，降低业务中断与数据泄露风险。
• 准备清单：
  • 资产清单与关键业务优先级、回退预案、离线/只读备份（含配置与证书）。
  • 带外管理通道（如iDRAC/iLO/云控制台）、只读审计账户、应急联系人清单。
  • 工具与脚本：APT源切换脚本、日志收集脚本、基线快照工具（如Lynis/AIDE）、网络抓包与分析工具（如tcpdump/Wireshark）。
  • 变更管控：变更单、回滚方案、窗口期与通知模板。

二 快速处置流程

• 1 隔离与遏制
  • 立即将受影响主机从网络隔离（云安全组/物理拔网/本机iptables DROP），优先保护域控/跳板/存储等关键节点。
  • 保留现场：暂停清理与大规模变更，先做内存与磁盘取证镜像（如条件允许）。
• 2 初步评估与止血
  • 资源与连通性：检查CPU/内存/磁盘/网络异常占用与可疑连接（ss -tulpen、netstat）。
  • 身份与登录：审计**/var/log/auth.log等日志，关注Failed password、root、Accepted**等关键词与异常来源IP。
  • 临时止血：封禁来源IP（iptables/fail2ban）、关闭高危端口/服务、撤销可疑SSH公钥（~/.ssh/authorized_keys）、限制对外暴露面。
• 3 取证与影响判定
  • 日志集中：收集**/var/log/与journalctl关键时段日志，必要时启用集中式SIEM/IDS/IPS**告警回溯。
  • 完整性校验：用AIDE/Tripwire比对基线，定位新增/篡改文件与可疑进程/定时任务（crontab -l、systemctl list-timers）。
  • 网络取证：抓取相关网口流量，分析异常会话与协议。
• 4 修复与加固
  • 更新与补丁：执行apt update && apt full-upgrade，必要时重启服务或系统；对关键业务分批滚动升级。
  • 漏洞专项：针对在野漏洞（如CVE-2025-6018/CVE-2025-6019）优先升级libblockdev/udisks2，核查PAM/Polkit配置，避免远程获得特权状态。
  • 安全基线与访问控制：启用ufw/iptables最小端口放行，禁用root SSH登录，强制SSH密钥认证，清理无效账户与弱口令。
• 5 恢复与验证
  • 分阶段恢复业务，持续日志监控与完整性复核，确认无残留后解除隔离。
• 6 事件报告与复盘
  • 输出事件报告（时间线、根因、影响范围、处置动作、改进项），更新应急预案与基线。

三 关键命令与操作示例

• 更新与补丁
  • sudo apt update && sudo apt full-upgrade
  • sudo apt install unattended-upgrades && sudo dpkg-reconfigure unattended-upgrades
• 日志与登录审计
  • sudo journalctl -xe
  • grep “Failed password|Accepted” /var/log/auth.log
  • last | head
• 网络与连接
  • ss -tulpen
  • sudo tcpdump -ni any port 22 or port 80 -w incident.pcap
• 完整性校验
  • sudo aide --check（首次需初始化：aide --init）
• 防火墙与SSH加固
  • sudo ufw default deny incoming && sudo ufw allow 22,80,443/tcp
  • sudo sed -i ‘s/^#PermitRootLogin./PermitRootLogin no/’ /etc/ssh/sshd_config && sudo systemctl restart ssh
• 临时封禁来源IP
  • sudo iptables -A INPUT -s <SRC_IP> -j DROP
• 取证与清理
  • 审查并清理：~/.ssh/authorized_keys、/root/.ssh/authorized_keys、/etc/crontab、/var/spool/cron/crontabs/*
  • 核查异常进程与启动项：ps auxf、systemctl list-units --type=service

四 常见场景与专项处置

• SSH爆破与后门
  • 研判要点：/var/log/auth.log中Failed/Accepted记录、last 登录历史、新增公钥。
  • 处置：封禁来源IP、清理authorized_keys异常公钥、重置受影响账户口令、加固SSH（禁用root、密钥登录、限制源IP）。
• 在野提权漏洞（示例：CVE-2025-6018/CVE-2025-6019）
  • 风险：本地或远程链式利用获取root权限。
  • 处置：优先升级libblockdev/udisks2至含修复版本；核查PAM/Polkit配置，避免远程会话获得特权操作能力；重启相关服务/系统并复核。

五 后续加固与预防

• 持续更新与自动化
  • 订阅debian-security-announce，启用unattended-upgrades自动安全更新，定期执行apt update && apt full-upgrade。
• 最小化暴露与访问控制
  • 使用ufw/iptables仅放行必要端口，禁用root SSH，强制SSH密钥，限制sudo使用范围与MFA。
• 监测与审计
  • 部署Fail2ban/Logwatch，集中分析auth.log/syslog/journalctl，定期运行AIDE/Lynis基线核查。
• 备份与演练
  • 定期全量+增量备份（含配置与证书），开展桌面推演/红蓝对抗，验证应急预案有效性。