centos进程如何进行安全性检查

CentOS 进程安全性检查实操指南

一 快速排查流程

• 隔离与快照：优先将服务器从网络隔离或限制访问；对关键目录与进程信息做快照（如 ps、lsof、netstat、/proc 关键文件）以便取证。
• 进程基线：用 ps、top 建立“正常进程清单”，重点关注异常命令行、未知服务、CPU/内存异常占用。
• 可执行文件核验：对每个可疑 PID，核对 /proc/PID/exe 是否指向合法路径，是否被替换。
• 句柄与端口：用 lsof -p 、ss -lntp/netstat -tunap 查看进程打开的文件、监听端口与网络连接。
• 网络异常：排查非常用端口、可疑外连（尤其是 25/465/587/2525 等 SMTP 端口，常被钓鱼/垃圾邮件滥用）。
• 持久化与关联：同步检查定时任务、SSH 授权密钥、系统服务、启动项，防止“杀进程即复活”。
• 日志取证：重点审计 /var/log/secure、/var/log/messages、last、lastb、lastlog，定位异常登录与提权痕迹。

二 关键命令清单

三 深入核查与取证

• 隐藏进程与异常父子关系：对比 ps 输出与 /proc 目录，排查已断开 /proc 链接或异常 PPID 的进程；检查 /tmp、/dev/shm 等临时目录的可疑可执行文件与 socket。
• 可疑网络连接特征：重点排查非常用端口、对外 SMTP 连接（25/465/587/2525）、短连接高频外连、连接到陌生网段的会话。
• 反弹 Shell 与非常规通道：检索进程命令行是否包含 /dev/tcp、bash -i、nc、python/perl/ruby 反弹片段；检查 LD_PRELOAD、ld.so.preload、PROMPT_COMMAND、SSH wrapper 等持久化/注入点。
• 关联持久化：除 cron 外，核查 systemd 服务、rc.local、/etc/rc*.d、开机自启脚本、inetd/xinetd 配置、SSH authorized_keys 与 ~/.ssh/config。
• 完整性校验：对 /bin、/sbin、/usr/bin、/usr/sbin 等核心目录执行 rpm -Va，关注标记为 5（MD5 变化）/S（大小变化）/T（时间变化）/U（属主变化）/G（属组变化） 的文件。

四 自动化与加固

• 自动化巡检工具：
  • GScan（CentOS 6/7，Python 2/3）：一键排查进程、网络、后门、Rootkit、账户与日志，支持差异比对与处置建议，输出 /GScan/log/gscan.log。
  • Lynis：系统级安全审计，覆盖进程、服务、防火墙、账户、软件等，生成详细报告与整改建议。
• 处置与加固要点：
  • 发现高危进程先取证（PID、命令行、打开文件、网络连接、启动项），再隔离处置；必要时临时封禁可疑 IP（firewalld/iptables）。
  • 清理持久化（删除/禁用异常 cron、systemd 服务、SSH 公钥、启动项），恢复合法配置。
  • 修复被篡改文件与权限，更新系统与软件包，重启服务并持续监控。
  • 加强最小权限与隔离：启用并正确配置 SELinux，限制服务运行账户与能力；仅开放必要端口与协议。