服务器安全审计与入侵检测

一、用户审计

1. 查看用户列表

# 查看所有用户cat/etc/passwd# 查看登录用户who# 查看用户登录历史last lastlog# 查看空密码用户awk-F:'($2=="") {print}'/etc/shadow

2. 异常登录检测

# 查看失败的登录尝试grep"Failed password"/var/log/auth.log# 查看root登录记录grep"Accepted password"/var/log/auth.log|greproot# 查看登录IP统计grep"Accepted"/var/log/auth.log|awk'{print $11}'|sort|uniq-c|sort-rn

二、文件完整性检查

1. AIDE工具

# 安装aptinstallaide# 初始化数据库aide--init# 复制数据库cp/var/lib/aide/aide.db.new /var/lib/aide/aide.db# 检查变更aide--check

2. Tripwire

# 安装aptinstalltripwire# 初始化tripwire--init# 检查tripwire--check

三、Rootkit检测

1. Rkhunter

# 安装aptinstallrkhunter# 更新特征库rkhunter--update# 扫描rkhunter--check# 查看报告cat/var/log/rkhunter.log|grepWarning

2. Chkrootkit

# 安装aptinstallchkrootkit# 扫描chkrootkit# 只显示警告chkrootkit|grepINFECTED

四、入侵检测系统IDS

1. OSSEC安装

# 下载wgethttps://github.com/ossec/ossec-hids/archive/3.6.0.tar.gz# 解压tar-xzf3.6.0.tar.gzcdossec-hids-3.6.0# 安装./install.sh

2. 配置监控

<!-- /var/ossec/etc/ossec.conf --><syscheck><directoriescheck_all="yes">/etc,/usr/bin,/usr/sbin</directories></syscheck>

五、安全审计工具

1. Lynis

# 安装aptinstalllynis# 执行审计lynis audit system# 查看详细报告lynis show details

2. OpenSCAP

# 安装aptinstallopenscap-scanner ssg-debian# 扫描oscap xccdfeval--profilexccdf_org.ssgproject.content_profile_standard\/usr/share/xml/scap/ssg/content/ssg-debian12-xccdf.xml

六、日志监控告警

1. Logwatch

# 安装aptinstalllogwatch# 生成报告logwatch--outputmail--mailtoadmin@example.com--detailhigh# 定时执行echo"0 6 * * * /usr/sbin/logwatch --output mail --mailto admin@example.com"|crontab-

2. 自定义告警脚本

#!/bin/bash# security_alert.sh# 检测异常登录FAILED_LOGINS=$(grep"Failed password"/var/log/auth.log|wc-l)if[$FAILED_LOGINS-gt50];thenecho"检测到大量失败登录尝试:$FAILED_LOGINS次"fi# 检测可疑进程SUSPICIOUS=$(psaux|grep-E"nc|netcat|ncat"|grep-vgrep|wc-l)if[$SUSPICIOUS-gt0];thenecho"检测到可疑进程"fi

七、安全检查清单

八、总结

安全审计要点：

1. 定期审计用户和权限
2. 监控系统文件变更
3. 检测Rootkit
4. 配置入侵检测
5. 建立告警机制

提醒：本文内容基于公开资料整理，实际选择时请以各服务商官方信息为准。
本文内容部分信息摘自vpsvip.net主机测评网站