安全排查步骤
攻击类型定位——>时间范围——>文件分析——>进程分析——>系统分析——>日志分析——>关联分析——>逻辑推理——>事件总结
账号安全
用户信息文件
passwd
用户名:密码:用户ID:用户说明:用户家目录:登录的shell
shadow
用户名:加密后密码:密码最后修改日期:两次密码修改间隔:密码有效期:密码到期警告天数:密码过期宽限天数:账号失效的时间:
原创2024年10月17日大约 15 分钟
linux搭建一个redis服务,配置未授权和记录redis日志,开启redis服务,并使用未授权攻击行为进行写计划任务;然后进行入侵排查,分析redis日志和攻击行为。
yum install redis原创2024年10月17日大约 2 分钟
用户管理
特权用户排查
UID=0为特权账号
[root@localhost ~]# awk -F: '($3==0)' /etc/passwd
root:x:0:0:root:/root:/bin/bash
[root@localhost ~]# passwd -l XXXXX^C #锁定账户,建议如果存在多个UID为0用户,先锁定再去排查,最后在确定是否删除或解除
[root@localhost ~]# userdel XXXXX^C #删除
[root@localhost ~]# passwd -u XXXXX^ #解除锁定原创2024年10月14日大约 1 分钟
计算机管理
本地用户和组
禁用账户
禁用guest(来宾用户) 删除其他用户(先核查再删除)
图标有向下箭头标识被禁用。
不显示最后登录名
本地安全策略
账户策略
密码策略
密码最小长度限制
密码复杂度要求
如果启用此策略,密码必须符合下列最低要求: 启用
不能包含用户的帐户名,不能包含用户姓名中超过两个连续字符的部分
至少有六个字符长
包含以下四类字符中的三类字符:
英文大写字母(A 到 Z)
英文小写字母(a 到 z)
10 个基本数字(0 到 9)
非字母字符(例如 !、$、#、%)
在更改或创建密码时执行复杂性要求原创2024年10月14日大约 3 分钟
类别:帐户管理
子类别:应用程序组管理
ID
消息
4783
已创建基本的应用程序组。
4784
基本应用程序组已被更改。
4785
已将成员添加到基本应用程序组。4786
已从基本应用程序组中删除一个成员。
4787
非成员已添加到基本应用程序组。
4788
非成员已从删除基本应用程序组。
4789
基本应用程序组已删除。
4790
LDAP 查询组被创建。
4791
基本应用程序组已被更改。
4792
LDAP 查询组已删除。原创2024年10月14日大约 42 分钟
apache --httpd
配置文件路径:/etc/httpd/conf/httpd.conf
日志文件路径:/var/log/httpd
查看是否有apache账号
限制目录及子目录权限
chmod -R 600 /etc/httpd/ (目录下文件全为600)
单独配置文件设置权限
chmod 600 /etc/httpd/conf/httpd.conf
日志配置
配置文件路径:/etc/httpd/conf/httpd.conf
原创2024年10月14日大约 3 分钟
MySql安全加固
账号安全
配置文件
/etc/my.cnf配置文件默认路径,在文件mysqld下添加:
vim /etc/my.cnf
user = mysql #指定数据库以mysql用户运行原创2024年10月14日大约 7 分钟