还剩28页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
安全培训课件Linux课程目录0102安全概述用户与权限管理Linux了解系统面临的威胁与加固原则掌握用户权限控制的核心技术0304密码与认证安全安全配置SSH实施强密码策略和多因素认证构建安全的远程访问通道0506文件系统安全网络安全与防火墙文件权限管理与访问控制网络层面的安全防护措施0708与日志审计与监控SELinux AppArmor强制访问控制系统的应用建立完善的监控与审计体系0910权限提升攻击与防御内核安全加固理解并防范提权攻击手段系统内核层面的安全强化11常用安全工具介绍安全事件响应与恢复掌握实用的安全检测工具第一章安全概述Linux面临的主要威胁安全加固重要性•远程代码执行漏洞Linux系统承载着企业的核心业务和敏感数据,一旦遭受攻击,可能导致业务中权限提升攻击•断、数据泄露、经济损失和声誉受损恶意软件感染•通过系统的安全加固,可以大幅降低安数据泄露风险•全风险,提高系统的抗攻击能力拒绝服务攻击•安全威胁实例Linux内核漏洞威胁暴力破解SSH年发现的内核漏洞根据安全监控数据显示,典型的2024Linux CVE-可导致本地权限提升,影服务器每日会遭受超过万次2024-1086Linux100响数百万台服务器攻击者利用此漏登录尝试,其中为恶意暴力SSH95%洞可从普通用户获得权限,完全破解攻击未采取防护措施的系统极root控制系统易被攻破勒索软件案例某制造企业因未及时更新系统补丁,遭受勒索软件攻击,导致生产系统瘫痪Linux小时,直接经济损失超过万元,客户信任度严重受损72500安全加固的核心目标防止未授权访问限制权限范围通过强化认证机制、访问控制和网络防护,确遵循最小权限原则,为用户和进程分配必要的保只有合法用户能够访问系统资源最小权限,降低被攻击后的影响范围快速响应恢复及时发现异常制定应急响应预案,确保安全事件发生后能够建立完善的监控和审计体系,及时发现可疑行快速隔离、修复和恢复系统正常运行为和安全事件,实现快速预警第二章用户与权限管理基础用户与权限管理是安全的基石正确理解和配置用户权限,可以有效防止未授权Linux访问和权限滥用本章将详细介绍用户管理、组管理、文件权限以及配置的安全sudo最佳实践用户与组管理掌握、、等命令的安全使用方法,理解的useradd usermoduserdel UID/GID重要性,合理规划用户组结构文件权限控制深入理解权限模型,掌握、、等特殊权限的应用场景rwx SUID SGID StickyBit和安全风险安全配置Sudo通过文件实现精细化权限控制,避免权限滥用,记录所有操作日sudoers sudo志用户权限误配置风险警告权限误配置是导致系统被入侵的主要原因之一,必须引起高度重视敏感文件权限过宽将设置为可写权限,攻击者可添加后门用户;/etc/passwd/etc/shadow权限不当可导致密码哈希泄露,被离线暴力破解配置不当Sudo给予用户过多权限,如允许执行所有命令或危险命令(如sudo),攻击者可轻易获得权限/bin/sh root真实案例分析某企业因将应用用户加入组,攻击者利用命令挂载根文件docker docker系统,实现容器逃逸并获得宿主机完全控制权第三章密码与认证安全密码是系统安全的第一道防线弱密码和不安全的认证机制是攻击者最常利用的入口点本章将介绍如何建立强密码策略、实施多因素认证,并通过模块加强认证安PAM全强密码策略要素多因素认证好处最小长度要求(建议位以上)即使密码被泄露,攻击者仍需要额外的•12认证因子才能成功登录可将账户包含大小写字母、数字、特殊字符MFA•被攻破的风险降低以上
99.9%避免使用字典单词和个人信息••定期更换(建议90天周期)常见的第二因子包括SMS验证码、软件令牌、硬件密钥等密码历史记录防止重复使用•密码安全实战禁止弱口令通过配置密码复杂度要求,使用检测/etc/security/pwquality.conf cracklib常见弱密码,禁用默认密码和常见密码模式密码管理工具推荐使用、等密码管理工具生成和存储复杂密码,避KeePass1Password免密码重复使用,定期更换关键账户密码集中认证管理结合、或实现统一身份认证,集中管LDAP ActiveDirectory RADIUS理用户账户,简化密码策略执行和账户生命周期管理第四章安全配置SSH是系统最常用的远程访问方式,也是攻击者的主要目标通过正确配置SSH LinuxSSH服务,可以大幅提升远程访问的安全性本章将介绍加固的各项措施和自动防护机SSH制密钥认证优于密码更改默认端口禁用密码认证,启用密钥认证将端口从默认的修改为非标准SSH SSH22使用位或算法生端口,配合白名单限制,可有效减RSA2048Ed25519IP成密钥对,私钥加密存储少自动化攻击自动封禁恶意IP使用监控登录日志,自动封禁多次失败登录的地址,防止暴力破解fail2ban SSHIP攻击安全配置示例SSH关键配置项详解#/etc/ssh/sshd_config安全配置示例Port2022#修改默认端口PasswordAuthentication no#禁用密码认证PubkeyAuthentication yes#启用密钥认证PermitRootLogin no#禁止root直接登录MaxAuthTries3#限制认证尝试次数ClientAliveInterval300#设置连接超时时间AllowUsersadmin@
192.
168.
1.*#限制允许登录的用户和IP配置要点攻击防御效果Fail2ban•监控/var/log/auth.log日志实施这些配置后,SSH暴力破解攻击成功•5次失败尝试后封禁IP率可降低99%以上配合监控告警,可及时发现高级持续性威胁•封禁时间设置为1小时•配置邮件通知管理员第五章文件系统安全文件系统安全是保护数据完整性和机密性的关键通过合理设置文件权限、使用隔离环境和定期清理,可以有效防止数据泄露和系统被恶意修改权限与所有权环境隔离定期清理维护Chroot正确设置文件和目录的读、写、执行权限,合理为高风险服务创建监狱,限制进程只能访使用或定期清理chroot tmpwatchsystemd-tmpfiles分配所有者和组,使用实现更精细的访问控问指定目录树,即使被攻破也无法影响系统其他临时文件,避免磁盘空间耗尽,清除可能包含敏ACL制部分感信息的临时数据文件权限误用案例1系统文件权限泄露权限设置为正常,但如果设置为(可写),攻击者/etc/passwd644666可添加新用户;必须设置为,否则密码哈希可被读取/etc/shadow6002密钥权限不当SSH用户目录权限应为,文件权限应为如果.ssh700authorized_keys600权限过宽,其他用户可读取或修改密钥,导致账户被劫持SSH3横向渗透案例攻击者初始获得服务器权限后,发现应用配置文件权限为且包Web644含数据库密码,进而获得数据库访问权限,最终通过数据库服务器渗透到内网其他系统第六章网络安全与防火墙网络安全是系统防护的外围屏障通过配置防火墙规则、关闭不必要服务和使用,VPN可以有效控制网络访问,减少攻击面本章将详细介绍和的安全配置iptables firewalld方法防火墙配置原则服务最小化•默认拒绝所有连接关闭不必要的网络服务,如telnet、、等不安全的服务使用只开放必要的端口和服务ftp rshnetstat•和命令检查监听端口,确保只有必要ss限制源地址范围•IP的服务在运行记录所有被拒绝的连接•对于必须对外开放的服务,使用非标准定期审查防火墙规则•端口,配合白名单限制访问IP防火墙配置实战规则示例Iptables#基础防火墙规则iptables-P INPUTDROP#默认拒绝入站iptables-PFORWARD DROP#默认拒绝转发iptables-P OUTPUTACCEPT#允许出站iptables-A INPUT-i lo-j ACCEPT#允许本地回环iptables-A INPUT-mstate--state ESTABLISHED,RELATED-j ACCEPTiptables-A INPUT-p tcp--dport2022-s
192.
168.
1.0/24-j ACCEPTiptables-A INPUT-j LOG--log-prefixIPTABLES-DROP:区域管理Firewalld使用public、internal、dmz等预定义区域,根据网络位置应用不同安全策略,支持动态更新规则不中断服务安全建议VPN部署OpenVPN或WireGuard实现安全远程访问,使用证书认证,定期更换密钥,记录所有VPN连接日志第七章与SELinux AppArmor强制访问控制(MAC)系统提供了超越传统文件权限的安全机制SELinux和AppArmor通过策略定义进程能够执行的操作,即使进程被攻破,也能限制其造成的损害策略类型Targeted策略保护关键进程,Strict策略控制所有进程,MLS策略支持多级安全分类安全模型SELinux配置AppArmor基于类型强制(Type Enforcement)、角色访问控制(RBAC)和多级安全(MLS)三种安全通过路径名匹配控制程序访问,学习模式生成策模型略,强制模式阻止违规操作典型问题与解决SELinux拒绝访问日志分析AVCtype=AVC msg=audit
1234567890.123:456:avc:denied{read}forpid=1234comm=httpd name=index.html dev=sda1ino=12345scontext=system_u:system_r:httpd_t:s0tcontext=unconfined_u:object_r:user_home_t:s0tclass=file问题诊断步骤防护实例分析日志确定被阻止的操作某服务器遭受代码注入攻击,攻击
1.AVC Web者试图读取文件由于检查文件安全上下文是否正确/etc/passwd
2.策略限制进程只能访问SELinux httpd使用生成策略规则
3.audit2allow目录,攻击被成功阻止,系统安全Web测试策略后正式应用
4.得到保障第八章日志审计与监控日志审计是安全防护的重要组成部分,通过记录和分析系统活动,可以及时发现安全威胁,为事后调查提供证据建立完善的审计体系对维护系统安全至关重要配置日志收集Auditd配置内核审计系统记录文件访问、系统调用、监控下的系统日志,包括、/var/log auth.log用户活动等关键事件、等重要日志文件syslog kern.log实时监控日志分析建立实时监控系统,及时发现异常行为和安全使用、等工具进行日志Logwatch ELKStack事件分析,生成安全报告和告警审计实战案例异常登录检测通过分析发现深夜异常登录、异地登录和多次失败尝试后成功登auth.log录等可疑活动,及时识别账户被盗用的风险文件访问追踪配置监控敏感文件访问,记录所有对、auditd/etc/passwd、密钥文件的读写操作,建立完整的访问审计轨迹/etc/shadow集成告警SIEM将审计日志集成到系统,建立关联分析规则,实现跨系统的安Linux SIEM全事件关联分析和自动化响应第九章权限提升攻击与防御权限提升是攻击者在获得初始访问权限后,试图获得更高权限的攻击手段理解常见的提权技术和防御措施,是构建深度防御体系的关键环节定义权限提升攻击是指攻击者利用系统漏洞、配置错误或设计缺陷,从低权限账户获得高权限访问的攻击行为内核漏洞攻击动机利用内核缓冲区溢出、释放后重用等漏洞获得权限root获得系统完全控制权,访问敏感数据,安装后门程序滥用SUID/SGID利用不当配置的程序或可写的文SUIDSGID件实现提权容器逃逸配置错误通过Docker/LXD组权限或容器配置错误实现容Sudo器逃逸利用过于宽松的规则或危险命令执行获得sudo权限root权限提升攻击案例内核提权漏洞漏洞利用程序的缓冲区溢出,任何本地用户都可获得权限,影响所有主流CVE-2021-4034PwnKit pkexecroot Linux发行版命令滥用Sudo配置允许用户执行,攻击者在中执行获得`sudo/bin/vi/etc/hosts`vi`:!/bin/bash`root,绕过限制shell sudo渗透测试发现在实际渗透测试中发现,通过应用获得权限后,Web RCEwww-data利用不当的任务配置和可写脚本实现权限提升至cron root权限提升防御措施1定期安全审计使用检查所有文件,`find/-perm-4000-type f2/dev/null`SUID`find/-检查文件,确保只有必要的文件具有perm-2000-type f2/dev/null`SGID特殊权限2配置加固Sudo遵循最小权限原则,避免使用通配符,禁止执行和编辑器等危险命令使shell用定期检查用户权限配置`sudo-l`3容器权限控制审计、等容器组成员,使用非特权容器运行,禁用危险的容器挂载选docker lxd项,实施容器资源限制4系统加固措施及时安装安全补丁,启用和保护,使用限制程序ASLR NXAppArmor/SELinux行为,监控异常进程活动第十章内核安全加固内核是整个系统的核心,内核安全直接关系到系统的整体安全性通过内核参数Linux调优、启用安全机制和减少攻击面,可以显著提升系统的抗攻击能力内存保护机制内核模块管理地址空间布局随机化随机化进禁用不必要的内核模块可以显著减少系ASLR程内存布局,增加利用漏洞的难度统攻击面通过模块签名验证确保只加载可信模块,使用模块黑名单阻止危险模块加载数据执行保护防止在数据页NX/DEP执行代码,阻止代码注入攻击定期审查加载的内核模块,确保所有模Stack Canary检测栈缓冲区溢出攻击块都是必需的防止内核执行用户空间SMEP/SMAP代码内核安全工具与实践内核补丁管理安全扫描工具Grsecurity/PaX提供全面的内核安全增强,包括内存破坏防护、建立系统的内核补丁管理流程,及时关注通使用、等工具定期扫描内核安CVE LynisOpenSCAP访问控制增强、审计功能等虽然不再免费提告,在测试环境验证后快速部署安全补丁,建议全配置,检测潜在的安全风险,生成安全基线报供,但其技术理念值得学习使用自动化工具管理更新告第十一章常用安全工具介绍掌握实用的安全工具是提升Linux安全管理效率的关键本章介绍常用的安全工具,包括入侵防护、恶意软件检测、漏洞扫描等多个方面的工具使用99%10K+50K+防护率病毒库漏洞Fail2ban ClamAVOpenVAS有效阻止SSH暴力破解攻击包含超过一万种恶意软件特征可检测超过5万个安全漏洞网络扫描工具系统加固检查提权工具库Nmap端口扫描和服务识别Masscan高速Lynis系统安全审计OpenSCAP安全合规GTFOBins Unix提权技术库LinPEAS端口扫描Zmap互联网规模扫描检查Tiger安全配置扫描Linux提权检查LinEnum系统信息收集工具实战演示部署1Fail2ban安装配置,设置保fail2ban SSH护规则,配置邮件通知演示自动封禁恶意的全过程,展示攻IP2病毒扫描ClamAV击防护效果部署反病毒引擎,更新ClamAV病毒库,执行全系统扫描演示漏洞评估3恶意文件检测和隔离处理流程,OpenVAS配置定时扫描任务安装配置漏洞扫描OpenVAS器,创建扫描任务,分析漏洞扫描报告重点介绍高危漏洞的识4安全审计Lynis别和修复建议运行系统审计工具,生成Lynis安全评估报告,根据建议进行系统加固展示安全基线对比和改进效果第十二章安全事件响应与恢复安全事件的快速响应和有效恢复是减少损失的关键建立完善的事件响应流程、制定应急预案和实施有效的备份策略,可以在安全事件发生时最大程度地保护系统和数据事件检测识别事件遏制隔离事件调查分析通过监控告警、用户报告等方式发现安全事件,立即采取措施防止事件扩散,隔离受影响系统,收集和分析相关证据,确定攻击方式、影响范围初步判断事件类型和影响范围保护其他资源不受影响和根本原因系统恢复重建经验总结改进清除恶意软件,修复系统漏洞,从可信备份恢复数据和服务总结事件处理经验,更新安全策略和应急预案,加强防护措施真实安全事件案例分析某制造企业勒索软件攻击全过程初始入侵攻击者通过钓鱼邮件投递恶意附件,利用未修补的Office漏洞获得初始访问权限权限提升利用Windows本地权限提升漏洞获得域管理员权限,在网络中进行横向移动数据加密部署勒索软件加密关键业务数据,包括生产控制系统和财务数据业务中断生产线停止运行72小时,订单无法交付,客户关系受到严重影响应急响应措施经验教训总结•立即隔离受感染系统直接损失超过500万元,但更重要的是客户信任度下降带来的长期影响事件暴露了补丁管理不及时、备份策略不完善、员•启动业务连续性计划工安全意识薄弱等问题•从备份系统恢复关键数据•重新加固所有系统安全配置•加强员工安全意识培训安全最佳实践总结Linux持续更新管理最小权限原则建立系统化的补丁管理流程,订阅安全通告,及时应用安全更新使用自动化工具管理更为用户和进程分配完成任务所需的最小权限,定期审查和调整权限配置,移除不再需要的新,但关键系统需要在测试环境验证后再部署账户和权限•定期检查系统更新•用户权限最小化•优先处理安全补丁•服务进程权限限制•建立测试和部署流程•定期权限审计清理安全审计培训自动化监控响应建立定期的安全审计机制,对系统配置、访问日志、安全事件进行定期检查加强管理员部署自动化监控系统,实现7×24小时安全监控,建立自动化响应机制,快速处理安全告和用户的安全意识培训警和事件•定期安全配置检查•实时监控告警系统•日志分析和异常检测•自动化响应规则•安全意识培训计划•事件处理流程优化与后续学习资源推荐QA常见问题解答如何平衡安全性和可用性?如何跟上安全威胁发展?Q:Q:A:根据业务需求进行风险评估,采用分层防御策略,在关键节点实施严格A:订阅安全资讯,参与安全社区,定期参加培训,建立威胁情报收集机控制,非关键部分适当放宽制小团队如何实施安全管理?预算有限如何加强安全?Q:Q:A:优先实施基础安全措施,使用自动化工具减轻管理负担,考虑使用托管A:优先使用开源安全工具,重点关注高风险领域,制定分阶段实施计划安全服务推荐学习资源免费资源SANS ReadingRoom、NIST CybersecurityFramework、CIS Controls在线课程Coursera网络安全、edX系统安全、LinuxAcademy技术文档Red HatSecurity Guide、Ubuntu Security、Arch LinuxSecurity安全社区参与开源项目参与Suricata、OSSEC等安全项目开发安全论坛加入Reddit r/netsec、Stack Overflow安全版块会议活动参加BSides、OWASPLocal Chapter等安全会议实战能力提升CTF竞赛参与Capture TheFlag网络安全竞赛实验环境搭建VulnHub、HackTheBox实验环境认证考试考虑CISSP、CEH、GCIH等专业认证。
个人认证
优秀文档
获得点赞 0
