Linux 系统安全监控全攻略
1. 日志与用户账户监控的重要性
在 Linux 系统的安全监控阶段,日志文件和用户账户的监控至关重要。日志文件能记录系统的各种活动,而用户账户常成为恶意攻击的目标,攻击者可能通过非法获取现有账户访问权限、创建虚假账户或预留账户以便后续访问等方式来攻击系统。
1.1 检测假冒新账户和权限提升
未经过适当授权创建的账户应被视为假冒账户,对账户进行任何未经授权的修改,如赋予不同的用户标识(UID)号码或添加未经授权的组成员身份,都属于权限提升。可通过监控/etc/passwd和/etc/group文件来防范这些潜在的安全漏洞。
为监控这些文件,可使用审计守护进程(audit daemon),它是一个强大的审计工具,能选择要跟踪的系统事件并记录,还具备报告功能。开始审计时,需使用auditctl命令,至少需要两个选项:
--w filename:对指定文件设置监控,审计守护进程将通过文件的 inode 号码跟踪该文件。inode 号码是包含文件信息(包括其位置)的数据结构。
--p trigger(s):当指定文件发生特定访问类型(r=读,w=写,x=执行,a=属性更改)时,触发审计记录。
例如,对/etc/passwd文件设置监控的命令如下:
# auditctl -w /etc/passwd -p rwa </
