内容大纲
1. IT系统安全管理概述
IT系统安全管理是保障企业信息系统安全运行的核心工作,它通过建立完善的安全管理体系,实施有效的安全措施,确保信息系统的机密性、完整性和可用性。安全管理需要覆盖物理安全、网络安全、系统安全、应用安全等多个层面。
IT系统安全管理的核心目标包括:
- 建立完善的安全管理体系和制度
- 实施有效的访问控制和身份认证
- 保护系统和数据免受安全威胁
- 及时发现和响应安全事件
- 确保系统符合安全合规要求
- 提高全员安全意识和技能
更多学习教程www.fgedu.net.cn
2. 安全策略制定
2.1 安全策略框架
# 安全策略框架制定
$ cat > /etc/security/policy/security_policy.txt << 'EOF' IT系统安全策略框架 一、总则 1.1 目的 本策略旨在建立企业IT系统安全管理体系,保障信息系统安全运行。 1.2 适用范围 本策略适用于企业所有IT系统、网络设备、数据资产及相关人员。 1.3 责任分工 - 信息安全部门:负责制定安全策略、监督执行 - IT运维部门:负责实施安全措施、日常维护 - 业务部门:负责遵守安全规定、保护数据资产 二、安全管理策略 2.1 访问控制策略 - 实施最小权限原则 - 定期审查访问权限 - 多因素认证要求 2.2 密码管理策略 - 密码复杂度要求:至少12位,包含大小写字母、数字、特殊字符 - 密码有效期:90天 - 密码历史:不得重复使用最近5次密码 2.3 网络安全策略 - 网络分区管理 - 防火墙规则审查 - 入侵检测与防御 2.4 数据安全策略 - 数据分类分级 - 数据加密要求 - 数据备份与恢复 2.5 应急响应策略 - 安全事件分类 - 响应流程 - 恢复措施 EOF
$ cat > /etc/security/policy/security_policy.txt << 'EOF' IT系统安全策略框架 一、总则 1.1 目的 本策略旨在建立企业IT系统安全管理体系,保障信息系统安全运行。 1.2 适用范围 本策略适用于企业所有IT系统、网络设备、数据资产及相关人员。 1.3 责任分工 - 信息安全部门:负责制定安全策略、监督执行 - IT运维部门:负责实施安全措施、日常维护 - 业务部门:负责遵守安全规定、保护数据资产 二、安全管理策略 2.1 访问控制策略 - 实施最小权限原则 - 定期审查访问权限 - 多因素认证要求 2.2 密码管理策略 - 密码复杂度要求:至少12位,包含大小写字母、数字、特殊字符 - 密码有效期:90天 - 密码历史:不得重复使用最近5次密码 2.3 网络安全策略 - 网络分区管理 - 防火墙规则审查 - 入侵检测与防御 2.4 数据安全策略 - 数据分类分级 - 数据加密要求 - 数据备份与恢复 2.5 应急响应策略 - 安全事件分类 - 响应流程 - 恢复措施 EOF
2.2 安全策略实施
# 安全策略实施脚本
$ cat > /usr/local/bin/implement_security_policy.sh << 'EOF' #!/bin/bash echo "开始实施安全策略..." # 1. 配置密码策略 echo "配置密码策略..." $ cat > /etc/security/pwquality.conf << 'POLICY' minlen = 12 minclass = 4 dcredit = -1 ucredit = -1 lcredit = -1 ocredit = -1 maxrepeat = 2 maxclassrepeat = 2 POLICY # 2. 配置登录策略 echo "配置登录策略..." $ cat > /etc/security/login.defs << 'LOGIN' PASS_MAX_DAYS 90 PASS_MIN_DAYS 7 PASS_MIN_LEN 12 PASS_WARN_AGE 14 LOGIN_RETRIES 3 LOGIN_TIMEOUT 60 LOGIN # 3. 配置账户锁定策略 echo "配置账户锁定策略..." $ cat > /etc/pam.d/system-auth << 'PAM' auth required pam_env.so auth required pam_faillock.so preauth audit deny=3 unlock_time=900 auth sufficient pam_unix.so nullok try_first_pass auth required pam_deny.so account required pam_unix.so account required pam_faillock.so password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=5 password required pam_deny.so session optional pam_keyinit.so revoke session required pam_limits.so -session optional pam_systemd.so session required pam_unix.so PAM echo "安全策略实施完成" EOF $ chmod +x /usr/local/bin/implement_security_policy.sh
$ cat > /usr/local/bin/implement_security_policy.sh << 'EOF' #!/bin/bash echo "开始实施安全策略..." # 1. 配置密码策略 echo "配置密码策略..." $ cat > /etc/security/pwquality.conf << 'POLICY' minlen = 12 minclass = 4 dcredit = -1 ucredit = -1 lcredit = -1 ocredit = -1 maxrepeat = 2 maxclassrepeat = 2 POLICY # 2. 配置登录策略 echo "配置登录策略..." $ cat > /etc/security/login.defs << 'LOGIN' PASS_MAX_DAYS 90 PASS_MIN_DAYS 7 PASS_MIN_LEN 12 PASS_WARN_AGE 14 LOGIN_RETRIES 3 LOGIN_TIMEOUT 60 LOGIN # 3. 配置账户锁定策略 echo "配置账户锁定策略..." $ cat > /etc/pam.d/system-auth << 'PAM' auth required pam_env.so auth required pam_faillock.so preauth audit deny=3 unlock_time=900 auth sufficient pam_unix.so nullok try_first_pass auth required pam_deny.so account required pam_unix.so account required pam_faillock.so password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=5 password required pam_deny.so session optional pam_keyinit.so revoke session required pam_limits.so -session optional pam_systemd.so session required pam_unix.so PAM echo "安全策略实施完成" EOF $ chmod +x /usr/local/bin/implement_security_policy.sh
输出结果如下:
开始实施安全策略…
配置密码策略…
配置登录策略…
配置账户锁定策略…
安全策略实施完成
开始实施安全策略…
配置密码策略…
配置登录策略…
配置账户锁定策略…
安全策略实施完成
3. 访问控制管理
3.1 用户权限管理
# 用户权限管理脚本
$ cat > /usr/local/bin/user_access_management.sh << 'EOF' #!/bin/bash # 创建用户组 create_user_groups() { echo "创建用户组..." groupadd -g 1001 sysadmin groupadd -g 1002 dbadmin groupadd -g 1003 appadmin groupadd -g 1004 netadmin groupadd -g 1005 secadmin } # 创建用户并分配权限 create_users() { echo "创建用户..." # 系统管理员 useradd -u 1001 -g sysadmin -m -s /bin/bash sysadmin1 useradd -u 1002 -g sysadmin -m -s /bin/bash sysadmin2 # 数据库管理员 useradd -u 1003 -g dbadmin -m -s /bin/bash dbadmin1 useradd -u 1004 -g dbadmin -m -s /bin/bash dbadmin2 # 应用管理员 useradd -u 1005 -g appadmin -m -s /bin/bash appadmin1 useradd -u 1006 -g appadmin -m -s /bin/bash appadmin2 } # 配置sudo权限 configure_sudo() { echo "配置sudo权限..." cat > /etc/sudoers.d/admin_groups << 'SUDO' # 系统管理员权限 %sysadmin ALL=(ALL) ALL # 数据库管理员权限 %dbadmin ALL=(ALL) /usr/bin/mysql, /usr/bin/mysqldump, /usr/bin/mysqladmin # 应用管理员权限 %appadmin ALL=(ALL) /usr/bin/systemctl restart *, /usr/bin/systemctl status * # 网络管理员权限 %netadmin ALL=(ALL) /usr/sbin/ifconfig, /usr/sbin/ip, /usr/sbin/iptables # 安全管理员权限 %secadmin ALL=(ALL) /usr/sbin/auditctl, /usr/sbin/ausearch, /usr/sbin/aureport SUDO chmod 440 /etc/sudoers.d/admin_groups } # 执行用户权限管理 create_user_groups create_users configure_sudo echo "用户权限管理完成" EOF $ chmod +x /usr/local/bin/user_access_management.sh
$ cat > /usr/local/bin/user_access_management.sh << 'EOF' #!/bin/bash # 创建用户组 create_user_groups() { echo "创建用户组..." groupadd -g 1001 sysadmin groupadd -g 1002 dbadmin groupadd -g 1003 appadmin groupadd -g 1004 netadmin groupadd -g 1005 secadmin } # 创建用户并分配权限 create_users() { echo "创建用户..." # 系统管理员 useradd -u 1001 -g sysadmin -m -s /bin/bash sysadmin1 useradd -u 1002 -g sysadmin -m -s /bin/bash sysadmin2 # 数据库管理员 useradd -u 1003 -g dbadmin -m -s /bin/bash dbadmin1 useradd -u 1004 -g dbadmin -m -s /bin/bash dbadmin2 # 应用管理员 useradd -u 1005 -g appadmin -m -s /bin/bash appadmin1 useradd -u 1006 -g appadmin -m -s /bin/bash appadmin2 } # 配置sudo权限 configure_sudo() { echo "配置sudo权限..." cat > /etc/sudoers.d/admin_groups << 'SUDO' # 系统管理员权限 %sysadmin ALL=(ALL) ALL # 数据库管理员权限 %dbadmin ALL=(ALL) /usr/bin/mysql, /usr/bin/mysqldump, /usr/bin/mysqladmin # 应用管理员权限 %appadmin ALL=(ALL) /usr/bin/systemctl restart *, /usr/bin/systemctl status * # 网络管理员权限 %netadmin ALL=(ALL) /usr/sbin/ifconfig, /usr/sbin/ip, /usr/sbin/iptables # 安全管理员权限 %secadmin ALL=(ALL) /usr/sbin/auditctl, /usr/sbin/ausearch, /usr/sbin/aureport SUDO chmod 440 /etc/sudoers.d/admin_groups } # 执行用户权限管理 create_user_groups create_users configure_sudo echo "用户权限管理完成" EOF $ chmod +x /usr/local/bin/user_access_management.sh
输出结果如下:
创建用户组…
创建用户…
配置sudo权限…
用户权限管理完成
创建用户组…
创建用户…
配置sudo权限…
用户权限管理完成
3.2 访问审计
# 访问审计配置
$ cat > /usr/local/bin/access_audit.sh << 'EOF' #!/bin/bash # 配置审计规则 configure_audit() { echo "配置审计规则..." # 审计用户登录 auditctl -w /var/log/secure -p wa -k login # 审计用户管理 auditctl -w /etc/passwd -p wa -k user_management auditctl -w /etc/shadow -p wa -k user_management auditctl -w /etc/group -p wa -k user_management auditctl -w /etc/sudoers -p wa -k user_management auditctl -w /etc/sudoers.d/ -p wa -k user_management # 审计系统配置 auditctl -w /etc/sysconfig/ -p wa -k system_config auditctl -w /etc/ssh/ -p wa -k ssh_config # 审计关键命令 auditctl -a always,exit -F arch=b64 -S chmod,chown,chmod -F auid>=1000 -F auid!=4294967295 -k permission_change
auditctl -a always,exit -F arch=b64 -S unlink,rename -F auid>=1000 -F auid!=4294967295 -k file_deletion
$ cat > /usr/local/bin/access_audit.sh << 'EOF' #!/bin/bash # 配置审计规则 configure_audit() { echo "配置审计规则..." # 审计用户登录 auditctl -w /var/log/secure -p wa -k login # 审计用户管理 auditctl -w /etc/passwd -p wa -k user_management auditctl -w /etc/shadow -p wa -k user_management auditctl -w /etc/group -p wa -k user_management auditctl -w /etc/sudoers -p wa -k user_management auditctl -w /etc/sudoers.d/ -p wa -k user_management # 审计系统配置 auditctl -w /etc/sysconfig/ -p wa -k system_config auditctl -w /etc/ssh/ -p wa -k ssh_config # 审计关键命令 auditctl -a always,exit -F arch=b64 -S chmod,chown,chmod -F auid>=1000 -F auid!=4294967295 -k permission_change
auditctl -a always,exit -F arch=b64 -S unlink,rename -F auid>=1000 -F auid!=4294967295 -k file_deletion
# 保存审计规则
cat > /etc/audit/rules.d/audit.rules << 'AUDIT'
## User login monitoring
-w /var/log/secure -p wa -k login
## User management
-w /etc/passwd -p wa -k user_management
-w /etc/shadow -p wa -k user_management
-w /etc/group -p wa -k user_management
-w /etc/sudoers -p wa -k user_management
-w /etc/sudoers.d/ -p wa -k user_management
## System configuration
-w /etc/sysconfig/ -p wa -k system_config
-w /etc/ssh/ -p wa -k ssh_config
## Permission changes
-a always,exit -F arch=b64 -S chmod,chown,chmod -F auid>=1000 -F auid!=4294967295 -k permission_change
## File deletion
-a always,exit -F arch=b64 -S unlink,rename -F auid>=1000 -F auid!=4294967295 -k file_deletion
AUDIT
# 重启审计服务
systemctl restart auditd
}
# 查看审计日志
view_audit_logs() {
echo “查看审计日志…”
# 查看最近的登录事件
ausearch -k login | tail -20
# 查看用户管理事件
ausearch -k user_management | tail -20
# 查看权限变更事件
ausearch -k permission_change | tail -20
}
configure_audit
view_audit_logs
EOF
$ chmod +x /usr/local/bin/access_audit.sh
输出结果如下:
配置审计规则…
查看审计日志…
time->Fri Apr 3 10:30:45 2026
type=USER_LOGIN msg=audit(1743660645.123:12345): pid=1234 uid=0 auid=1000 ses=1 msg=’op=login acct=”sysadmin1″ exe=”/usr/sbin/sshd” hostname=192.168.1.100 addr=192.168.1.100 terminal=ssh res=success’
配置审计规则…
查看审计日志…
time->Fri Apr 3 10:30:45 2026
type=USER_LOGIN msg=audit(1743660645.123:12345): pid=1234 uid=0 auid=1000 ses=1 msg=’op=login acct=”sysadmin1″ exe=”/usr/sbin/sshd” hostname=192.168.1.100 addr=192.168.1.100 terminal=ssh res=success’
学习交流加群风哥微信: itpux-com
4. 网络安全管理
4.1 防火墙配置
# 防火墙配置脚本
$ cat > /usr/local/bin/configure_firewall.sh << 'EOF' #!/bin/bash echo "配置防火墙规则..." # 清除现有规则 iptables -F iptables -X iptables -Z # 设置默认策略 iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT # 允许回环接口 iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT # 允许已建立的连接 iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # 允许SSH连接(限制连接频率) iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 --rttl --name SSH -j DROP iptables -A INPUT -p tcp --dport 22 -j ACCEPT # 允许HTTP和HTTPS iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp --dport 443 -j ACCEPT # 允许监控端口 iptables -A INPUT -p tcp --dport 9090 -s 192.168.1.0/24 -j ACCEPT iptables -A INPUT -p tcp --dport 3000 -s 192.168.1.0/24 -j ACCEPT # 防止SYN洪水攻击 iptables -A INPUT -p tcp --syn -m limit --limit 1/s --limit-burst 3 -j ACCEPT # 防止端口扫描 iptables -A INPUT -m recent --name portscan --rcheck --seconds 300 -j DROP iptables -A INPUT -m recent --name portscan --remove # 记录被拒绝的连接 iptables -A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7 # 保存防火墙规则 service iptables save echo "防火墙配置完成" EOF $ chmod +x /usr/local/bin/configure_firewall.sh
$ cat > /usr/local/bin/configure_firewall.sh << 'EOF' #!/bin/bash echo "配置防火墙规则..." # 清除现有规则 iptables -F iptables -X iptables -Z # 设置默认策略 iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT # 允许回环接口 iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT # 允许已建立的连接 iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # 允许SSH连接(限制连接频率) iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 --rttl --name SSH -j DROP iptables -A INPUT -p tcp --dport 22 -j ACCEPT # 允许HTTP和HTTPS iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp --dport 443 -j ACCEPT # 允许监控端口 iptables -A INPUT -p tcp --dport 9090 -s 192.168.1.0/24 -j ACCEPT iptables -A INPUT -p tcp --dport 3000 -s 192.168.1.0/24 -j ACCEPT # 防止SYN洪水攻击 iptables -A INPUT -p tcp --syn -m limit --limit 1/s --limit-burst 3 -j ACCEPT # 防止端口扫描 iptables -A INPUT -m recent --name portscan --rcheck --seconds 300 -j DROP iptables -A INPUT -m recent --name portscan --remove # 记录被拒绝的连接 iptables -A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7 # 保存防火墙规则 service iptables save echo "防火墙配置完成" EOF $ chmod +x /usr/local/bin/configure_firewall.sh
输出结果如下:
配置防火墙规则…
防火墙配置完成
配置防火墙规则…
防火墙配置完成
4.2 入侵检测配置
# 入侵检测系统配置
$ cat > /usr/local/bin/configure_ids.sh << 'EOF' #!/bin/bash echo "配置入侵检测系统..." # 安装OSSEC yum install -y ossec-hids-server ossec-hids-agent # 配置OSSEC cat > /var/ossec/etc/ossec.conf << 'OSSEC'
yes
security@fgedu.net.cn
smtp.fgedu.net.cn
ossec@fgedu.net.cn
OSSEC
$ cat > /usr/local/bin/configure_ids.sh << 'EOF' #!/bin/bash echo "配置入侵检测系统..." # 安装OSSEC yum install -y ossec-hids-server ossec-hids-agent # 配置OSSEC cat > /var/ossec/etc/ossec.conf << 'OSSEC'
OSSEC
# 启动OSSEC服务
/var/ossec/bin/ossec-control start
echo “入侵检测系统配置完成”
EOF
$ chmod +x /usr/local/bin/configure_ids.sh
输出结果如下:
配置入侵检测系统…
Starting OSSEC HIDS v3.6.0…
Started ossec-maild…
Started ossec-execd…
Started ossec-analysisd…
Started ossec-logcollector…
Started ossec-remoted…
Started ossec-syscheckd…
Started ossec-monitord…
Completed.
入侵检测系统配置完成
配置入侵检测系统…
Starting OSSEC HIDS v3.6.0…
Started ossec-maild…
Started ossec-execd…
Started ossec-analysisd…
Started ossec-logcollector…
Started ossec-remoted…
Started ossec-syscheckd…
Started ossec-monitord…
Completed.
入侵检测系统配置完成
5. 系统加固
5.1 操作系统加固
# 操作系统加固脚本
$ cat > /usr/local/bin/system_hardening.sh << 'EOF' #!/bin/bash echo "开始系统加固..." # 1. 关闭不必要的服务 echo "关闭不必要的服务..." systemctl stop bluetooth systemctl disable bluetooth systemctl stop cups systemctl disable cups systemctl stop avahi-daemon systemctl disable avahi-daemon # 2. 配置SSH安全 echo "配置SSH安全..." cat > /etc/ssh/sshd_config << 'SSH' Port 22 Protocol 2 PermitRootLogin no PermitEmptyPasswords no PasswordAuthentication no PubkeyAuthentication yes MaxAuthTries 3 MaxSessions 5 ClientAliveInterval 300 ClientAliveCountMax 2 AllowUsers sysadmin1 sysadmin2 AllowGroups sysadmin SSH # 3. 配置内核安全参数 echo "配置内核安全参数..." cat >> /etc/sysctl.conf << 'KERNEL' # 网络安全 net.ipv4.tcp_syncookies = 1 net.ipv4.tcp_max_syn_backlog = 2048 net.ipv4.tcp_synack_retries = 2 net.ipv4.tcp_syn_retries = 5 net.ipv4.icmp_echo_ignore_broadcasts = 1 net.ipv4.icmp_ignore_bogus_error_responses = 1 net.ipv4.conf.all.log_martians = 1 net.ipv4.conf.default.log_martians = 1 net.ipv4.conf.all.accept_source_route = 0 net.ipv4.conf.default.accept_source_route = 0 net.ipv4.conf.all.rp_filter = 1 net.ipv4.conf.default.rp_filter = 1 net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.default.accept_redirects = 0 net.ipv4.conf.all.send_redirects = 0 net.ipv4.conf.default.send_redirects = 0 # 文件系统安全 fs.suid_dumpable = 0 kernel.exec-shield = 1 kernel.randomize_va_space = 2 KERNEL sysctl -p # 4. 配置文件权限 echo "配置文件权限..." chmod 600 /etc/passwd- chmod 600 /etc/shadow- chmod 600 /etc/group- chmod 600 /etc/gshadow- chmod 600 /etc/ssh/sshd_config chmod 700 /root # 5. 禁用不安全的文件系统 echo "禁用不安全的文件系统..." cat >> /etc/modprobe.d/blacklist.conf << 'BLACKLIST' blacklist cramfs blacklist freevxfs blacklist jffs2 blacklist hfs blacklist hfsplus blacklist squashfs blacklist udf blacklist vfat BLACKLIST echo "系统加固完成" EOF $ chmod +x /usr/local/bin/system_hardening.sh
$ cat > /usr/local/bin/system_hardening.sh << 'EOF' #!/bin/bash echo "开始系统加固..." # 1. 关闭不必要的服务 echo "关闭不必要的服务..." systemctl stop bluetooth systemctl disable bluetooth systemctl stop cups systemctl disable cups systemctl stop avahi-daemon systemctl disable avahi-daemon # 2. 配置SSH安全 echo "配置SSH安全..." cat > /etc/ssh/sshd_config << 'SSH' Port 22 Protocol 2 PermitRootLogin no PermitEmptyPasswords no PasswordAuthentication no PubkeyAuthentication yes MaxAuthTries 3 MaxSessions 5 ClientAliveInterval 300 ClientAliveCountMax 2 AllowUsers sysadmin1 sysadmin2 AllowGroups sysadmin SSH # 3. 配置内核安全参数 echo "配置内核安全参数..." cat >> /etc/sysctl.conf << 'KERNEL' # 网络安全 net.ipv4.tcp_syncookies = 1 net.ipv4.tcp_max_syn_backlog = 2048 net.ipv4.tcp_synack_retries = 2 net.ipv4.tcp_syn_retries = 5 net.ipv4.icmp_echo_ignore_broadcasts = 1 net.ipv4.icmp_ignore_bogus_error_responses = 1 net.ipv4.conf.all.log_martians = 1 net.ipv4.conf.default.log_martians = 1 net.ipv4.conf.all.accept_source_route = 0 net.ipv4.conf.default.accept_source_route = 0 net.ipv4.conf.all.rp_filter = 1 net.ipv4.conf.default.rp_filter = 1 net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.default.accept_redirects = 0 net.ipv4.conf.all.send_redirects = 0 net.ipv4.conf.default.send_redirects = 0 # 文件系统安全 fs.suid_dumpable = 0 kernel.exec-shield = 1 kernel.randomize_va_space = 2 KERNEL sysctl -p # 4. 配置文件权限 echo "配置文件权限..." chmod 600 /etc/passwd- chmod 600 /etc/shadow- chmod 600 /etc/group- chmod 600 /etc/gshadow- chmod 600 /etc/ssh/sshd_config chmod 700 /root # 5. 禁用不安全的文件系统 echo "禁用不安全的文件系统..." cat >> /etc/modprobe.d/blacklist.conf << 'BLACKLIST' blacklist cramfs blacklist freevxfs blacklist jffs2 blacklist hfs blacklist hfsplus blacklist squashfs blacklist udf blacklist vfat BLACKLIST echo "系统加固完成" EOF $ chmod +x /usr/local/bin/system_hardening.sh
输出结果如下:
开始系统加固…
关闭不必要的服务…
配置SSH安全…
配置内核安全参数…
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 2048
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 5
net.ipv4.icmp_echo_ignore_broadcasts = 1
net.ipv4.icmp_ignore_bogus_error_responses = 1
net.ipv4.conf.all.log_martians = 1
net.ipv4.conf.default.log_martians = 1
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
fs.suid_dumpable = 0
kernel.exec-shield = 1
kernel.randomize_va_space = 2
配置文件权限…
禁用不安全的文件系统…
系统加固完成
开始系统加固…
关闭不必要的服务…
配置SSH安全…
配置内核安全参数…
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 2048
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 5
net.ipv4.icmp_echo_ignore_broadcasts = 1
net.ipv4.icmp_ignore_bogus_error_responses = 1
net.ipv4.conf.all.log_martians = 1
net.ipv4.conf.default.log_martians = 1
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
fs.suid_dumpable = 0
kernel.exec-shield = 1
kernel.randomize_va_space = 2
配置文件权限…
禁用不安全的文件系统…
系统加固完成
5.2 应用安全加固
# 应用安全加固脚本
$ cat > /usr/local/bin/app_hardening.sh << 'EOF' #!/bin/bash echo "开始应用安全加固..." # 1. 配置Web服务器安全 echo "配置Web服务器安全..." cat > /etc/nginx/conf.d/security.conf << 'NGINX' # 隐藏版本号 server_tokens off; # 防止点击劫持 add_header X-Frame-Options "SAMEORIGIN"; # 防止MIME类型嗅探 add_header X-Content-Type-Options "nosniff"; # XSS保护 add_header X-XSS-Protection "1; mode=block"; # 内容安全策略 add_header Content-Security-Policy "default-src 'self'"; # HSTS add_header Strict-Transport-Security "max-age=31536000; includeSubDomains"; # 限制请求大小 client_max_body_size 10M; # 限制连接数 limit_conn_zone $binary_remote_addr zone=conn_limit:10m; limit_conn conn_limit 20; # 限制请求速率 limit_req_zone $binary_remote_addr zone=req_limit:10m rate=10r/s; limit_req zone=req_limit burst=20 nodelay; NGINX # 2. 配置数据库安全 echo "配置数据库安全..." mysql -u root -p << 'MYSQL' -- 删除匿名用户 DELETE FROM mysql.user WHERE User=''; -- 删除测试数据库 DROP DATABASE IF EXISTS test; -- 禁止root远程登录 DELETE FROM mysql.user WHERE User='root' AND Host NOT IN ('fgedudb', '127.0.0.1', '::1'); -- 刷新权限 FLUSH PRIVILEGES; MYSQL # 3. 配置应用安全 echo "配置应用安全..." cat > /etc/security/app_security.conf << 'APP' # 应用安全配置 # 会话超时时间(分钟) SESSION_TIMEOUT=30 # 最大登录尝试次数 MAX_LOGIN_ATTEMPTS=5 # 账户锁定时间(分钟) ACCOUNT_LOCKOUT_DURATION=30 # 密码最小长度 PASSWORD_MIN_LENGTH=12 # 密码复杂度要求 PASSWORD_COMPLEXITY=uppercase lowercase digit special # 启用审计日志 ENABLE_AUDIT_LOG=yes # 启用访问日志 ENABLE_ACCESS_LOG=yes APP echo "应用安全加固完成" EOF $ chmod +x /usr/local/bin/app_hardening.sh
$ cat > /usr/local/bin/app_hardening.sh << 'EOF' #!/bin/bash echo "开始应用安全加固..." # 1. 配置Web服务器安全 echo "配置Web服务器安全..." cat > /etc/nginx/conf.d/security.conf << 'NGINX' # 隐藏版本号 server_tokens off; # 防止点击劫持 add_header X-Frame-Options "SAMEORIGIN"; # 防止MIME类型嗅探 add_header X-Content-Type-Options "nosniff"; # XSS保护 add_header X-XSS-Protection "1; mode=block"; # 内容安全策略 add_header Content-Security-Policy "default-src 'self'"; # HSTS add_header Strict-Transport-Security "max-age=31536000; includeSubDomains"; # 限制请求大小 client_max_body_size 10M; # 限制连接数 limit_conn_zone $binary_remote_addr zone=conn_limit:10m; limit_conn conn_limit 20; # 限制请求速率 limit_req_zone $binary_remote_addr zone=req_limit:10m rate=10r/s; limit_req zone=req_limit burst=20 nodelay; NGINX # 2. 配置数据库安全 echo "配置数据库安全..." mysql -u root -p << 'MYSQL' -- 删除匿名用户 DELETE FROM mysql.user WHERE User=''; -- 删除测试数据库 DROP DATABASE IF EXISTS test; -- 禁止root远程登录 DELETE FROM mysql.user WHERE User='root' AND Host NOT IN ('fgedudb', '127.0.0.1', '::1'); -- 刷新权限 FLUSH PRIVILEGES; MYSQL # 3. 配置应用安全 echo "配置应用安全..." cat > /etc/security/app_security.conf << 'APP' # 应用安全配置 # 会话超时时间(分钟) SESSION_TIMEOUT=30 # 最大登录尝试次数 MAX_LOGIN_ATTEMPTS=5 # 账户锁定时间(分钟) ACCOUNT_LOCKOUT_DURATION=30 # 密码最小长度 PASSWORD_MIN_LENGTH=12 # 密码复杂度要求 PASSWORD_COMPLEXITY=uppercase lowercase digit special # 启用审计日志 ENABLE_AUDIT_LOG=yes # 启用访问日志 ENABLE_ACCESS_LOG=yes APP echo "应用安全加固完成" EOF $ chmod +x /usr/local/bin/app_hardening.sh
输出结果如下:
开始应用安全加固…
配置Web服务器安全…
配置数据库安全…
配置应用安全…
应用安全加固完成
开始应用安全加固…
配置Web服务器安全…
配置数据库安全…
配置应用安全…
应用安全加固完成
学习交流加群风哥QQ113257174
6. 漏洞管理
6.1 漏洞扫描
# 漏洞扫描脚本
$ cat > /usr/local/bin/vulnerability_scan.sh << 'EOF' #!/bin/bash echo "开始漏洞扫描..." # 1. 系统漏洞扫描 echo "扫描系统漏洞..." yum install -y yum-plugin-security yum --security check-update # 2. 使用OpenVAS扫描 echo "使用OpenVAS扫描..." omp -u admin -w password -C -n "System Scan" -T "192.168.1.0/24" # 3. 使用Nmap扫描开放端口 echo "扫描开放端口..." nmap -sS -sV -O 192.168.1.100 > /tmp/nmap_scan.txt
$ cat > /usr/local/bin/vulnerability_scan.sh << 'EOF' #!/bin/bash echo "开始漏洞扫描..." # 1. 系统漏洞扫描 echo "扫描系统漏洞..." yum install -y yum-plugin-security yum --security check-update # 2. 使用OpenVAS扫描 echo "使用OpenVAS扫描..." omp -u admin -w password -C -n "System Scan" -T "192.168.1.0/24" # 3. 使用Nmap扫描开放端口 echo "扫描开放端口..." nmap -sS -sV -O 192.168.1.100 > /tmp/nmap_scan.txt
# 4. 使用Nessus扫描
echo “使用Nessus扫描…”
curl -k -X POST -H “X-ApiKeys: accessKey=xxx;secretKey=xxx” \
https://nessus.fgedu.net.cn:8834/scans -d ‘{“uuid”:”scanner-uuid”,”settings”:{“name”:”System Scan”,”text_targets”:”192.168.1.100″}}’
# 5. Web应用漏洞扫描
echo “扫描Web应用漏洞…”
nikto -h http://fgedudb -output /tmp/nikto_scan.txt
# 6. 数据库漏洞扫描
echo “扫描数据库漏洞…”
sqlmap -u “http://fgedudb/api?id=1” –batch –level=3 –risk=1
echo “漏洞扫描完成”
echo “扫描结果保存在 /tmp/ 目录”
EOF
$ chmod +x /usr/local/bin/vulnerability_scan.sh
输出结果如下:
开始漏洞扫描…
扫描系统漏洞…
Loaded plugins: security
No security updates needed
使用OpenVAS扫描…
扫描开放端口…
Starting Nmap 7.80 ( https://nmap.org )
Nmap scan report for 192.168.1.100
Host is up (0.00012s latency).
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 7.9p1
80/tcp open http nginx 1.18.0
443/tcp open ssl/http nginx 1.18.0
使用Nessus扫描…
扫描Web应用漏洞…
扫描数据库漏洞…
漏洞扫描完成
扫描结果保存在 /tmp/ 目录
开始漏洞扫描…
扫描系统漏洞…
Loaded plugins: security
No security updates needed
使用OpenVAS扫描…
扫描开放端口…
Starting Nmap 7.80 ( https://nmap.org )
Nmap scan report for 192.168.1.100
Host is up (0.00012s latency).
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 7.9p1
80/tcp open http nginx 1.18.0
443/tcp open ssl/http nginx 1.18.0
使用Nessus扫描…
扫描Web应用漏洞…
扫描数据库漏洞…
漏洞扫描完成
扫描结果保存在 /tmp/ 目录
6.2 漏洞修复
# 漏洞修复脚本
$ cat > /usr/local/bin/vulnerability_remediation.sh << 'EOF' #!/bin/bash echo "开始漏洞修复..." # 1. 更新系统补丁 echo "更新系统补丁..." yum update -y --security # 2. 修复SSH漏洞 echo "修复SSH漏洞..." # 升级OpenSSH yum update -y openssh openssh-server openssh-clients # 3. 修复Web服务器漏洞 echo "修复Web服务器漏洞..." # 升级Nginx yum update -y nginx # 4. 修复数据库漏洞 echo "修复数据库漏洞..." # 升级MySQL yum update -y mysql mysql-server # 5. 修复应用漏洞 echo "修复应用漏洞..." # 更新应用依赖 cd /opt/application npm audit fix pip install --upgrade -r requirements.txt # 6. 重启服务 echo "重启服务..." systemctl restart sshd systemctl restart nginx systemctl restart mysqld echo "漏洞修复完成" EOF $ chmod +x /usr/local/bin/vulnerability_remediation.sh
$ cat > /usr/local/bin/vulnerability_remediation.sh << 'EOF' #!/bin/bash echo "开始漏洞修复..." # 1. 更新系统补丁 echo "更新系统补丁..." yum update -y --security # 2. 修复SSH漏洞 echo "修复SSH漏洞..." # 升级OpenSSH yum update -y openssh openssh-server openssh-clients # 3. 修复Web服务器漏洞 echo "修复Web服务器漏洞..." # 升级Nginx yum update -y nginx # 4. 修复数据库漏洞 echo "修复数据库漏洞..." # 升级MySQL yum update -y mysql mysql-server # 5. 修复应用漏洞 echo "修复应用漏洞..." # 更新应用依赖 cd /opt/application npm audit fix pip install --upgrade -r requirements.txt # 6. 重启服务 echo "重启服务..." systemctl restart sshd systemctl restart nginx systemctl restart mysqld echo "漏洞修复完成" EOF $ chmod +x /usr/local/bin/vulnerability_remediation.sh
输出结果如下:
开始漏洞修复…
更新系统补丁…
修复SSH漏洞…
修复Web服务器漏洞…
修复数据库漏洞…
修复应用漏洞…
重启服务…
漏洞修复完成
开始漏洞修复…
更新系统补丁…
修复SSH漏洞…
修复Web服务器漏洞…
修复数据库漏洞…
修复应用漏洞…
重启服务…
漏洞修复完成
7. 安全监控
7.1 安全事件监控
# 安全事件监控脚本
$ cat > /usr/local/bin/security_monitoring.sh << 'EOF' #!/bin/bash echo "开始安全监控..." # 1. 监控登录失败 monitor_login_failures() { echo "监控登录失败..." FAILED_LOGINS=$(grep "Failed password" /var/log/secure | tail -20) echo "$FAILED_LOGINS" } # 2. 监控异常进程 monitor_suspicious_processes() { echo "监控异常进程..." # 检查root进程 ps aux | awk '$3>80.0{print $0}’
$ cat > /usr/local/bin/security_monitoring.sh << 'EOF' #!/bin/bash echo "开始安全监控..." # 1. 监控登录失败 monitor_login_failures() { echo "监控登录失败..." FAILED_LOGINS=$(grep "Failed password" /var/log/secure | tail -20) echo "$FAILED_LOGINS" } # 2. 监控异常进程 monitor_suspicious_processes() { echo "监控异常进程..." # 检查root进程 ps aux | awk '$3>80.0{print $0}’
# 检查网络连接
netstat -antp | grep ESTABLISHED
}
# 3. 监控文件变更
monitor_file_changes() {
echo “监控文件变更…”
# 检查关键文件变更
find /etc -type f -mtime -1 -ls
}
# 4. 监控网络异常
monitor_network_anomalies() {
echo “监控网络异常…”
# 检查异常连接
ss -antp | grep -v ESTAB | grep -v LISTEN
}
# 5. 监控系统资源
monitor_system_resources() {
echo “监控系统资源…”
# CPU使用率
top -bn1 | grep “Cpu(s)”
# 内存使用率
free -h
# 磁盘使用率
df -h
}
# 执行监控
monitor_login_failures
monitor_suspicious_processes
monitor_file_changes
monitor_network_anomalies
monitor_system_resources
echo “安全监控完成”
EOF
$ chmod +x /usr/local/bin/security_monitoring.sh
输出结果如下:
开始安全监控…
监控登录失败…
Apr 3 10:30:45 server sshd[12345]: Failed password for invalid user admin from 192.168.1.200 port 54321 ssh2
监控异常进程…
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
root 1234 85.5 2.1 123456 54321 ? R 10:30 1:23 ./suspicious_process
监控文件变更…
监控网络异常…
监控系统资源…
%Cpu(s): 5.2 us, 2.1 sy, 0.0 ni, 92.5 id, 0.2 wa, 0.0 hi, 0.0 si
total used free shared buff/cache available
Mem: 31Gi 5.2Gi 25Gi 256Mi 1.1Gi 25Gi
Swap: 2.0Gi 0B 2.0Gi
Filesystem Size Used Avail Use% Mounted on
/dev/sda1 50G 25G 26G 50% /
安全监控完成
开始安全监控…
监控登录失败…
Apr 3 10:30:45 server sshd[12345]: Failed password for invalid user admin from 192.168.1.200 port 54321 ssh2
监控异常进程…
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
root 1234 85.5 2.1 123456 54321 ? R 10:30 1:23 ./suspicious_process
监控文件变更…
监控网络异常…
监控系统资源…
%Cpu(s): 5.2 us, 2.1 sy, 0.0 ni, 92.5 id, 0.2 wa, 0.0 hi, 0.0 si
total used free shared buff/cache available
Mem: 31Gi 5.2Gi 25Gi 256Mi 1.1Gi 25Gi
Swap: 2.0Gi 0B 2.0Gi
Filesystem Size Used Avail Use% Mounted on
/dev/sda1 50G 25G 26G 50% /
安全监控完成
7.2 安全日志分析
# 安全日志分析脚本
$ cat > /usr/local/bin/security_log_analysis.sh << 'EOF' #!/bin/bash echo "开始安全日志分析..." # 1. 分析SSH登录日志 analyze_ssh_logs() { echo "分析SSH登录日志..." # 统计登录成功次数 SUCCESS_COUNT=$(grep "Accepted password" /var/log/secure | wc -l) echo "SSH登录成功次数: $SUCCESS_COUNT" # 统计登录失败次数 FAIL_COUNT=$(grep "Failed password" /var/log/secure | wc -l) echo "SSH登录失败次数: $FAIL_COUNT" # 统计暴力破解IP echo "暴力破解IP统计:" grep "Failed password" /var/log/secure | awk '{print $(NF-3)}' | sort | uniq -c | sort -nr | head -10 } # 2. 分析系统日志 analyze_system_logs() { echo "分析系统日志..." # 统计错误日志 ERROR_COUNT=$(grep -i "error" /var/log/messages | wc -l) echo "系统错误日志数: $ERROR_COUNT" # 统计警告日志 WARN_COUNT=$(grep -i "warning" /var/log/messages | wc -l) echo "系统警告日志数: $WARN_COUNT" } # 3. 分析Web日志 analyze_web_logs() { echo "分析Web日志..." # 统计访问量 ACCESS_COUNT=$(wc -l < /var/log/nginx/access.log) echo "Web访问量: $ACCESS_COUNT" # 统计错误请求 ERROR_REQUESTS=$(grep -E " (4[0-9]{2}|5[0-9]{2}) " /var/log/nginx/access.log | wc -l) echo "错误请求数: $ERROR_REQUESTS" # 统计攻击尝试 ATTACK_COUNT=$(grep -E "(SELECT|UNION|DROP|INSERT|DELETE)" /var/log/nginx/access.log | wc -l) echo "攻击尝试数: $ATTACK_COUNT" } # 4. 生成安全报告 generate_security_report() { echo "生成安全报告..." REPORT_FILE="/tmp/security_report_$(date +%Y%m%d).txt" cat > $REPORT_FILE << REPORT 安全日志分析报告 生成时间: $(date) 一、SSH登录统计 - 成功登录: $SUCCESS_COUNT 次 - 失败登录: $FAIL_COUNT 次 二、系统日志统计 - 错误日志: $ERROR_COUNT 条 - 警告日志: $WARN_COUNT 条 三、Web访问统计 - 总访问量: $ACCESS_COUNT 次 - 错误请求: $ERROR_REQUESTS 次 - 攻击尝试: $ATTACK_COUNT 次 四、安全建议 1. 加强SSH访问控制 2. 配置防火墙规则 3. 定期更新系统补丁 4. 加强密码策略 REPORT echo "安全报告已生成: $REPORT_FILE" } # 执行分析 analyze_ssh_logs analyze_system_logs analyze_web_logs generate_security_report echo "安全日志分析完成" EOF $ chmod +x /usr/local/bin/security_log_analysis.sh
$ cat > /usr/local/bin/security_log_analysis.sh << 'EOF' #!/bin/bash echo "开始安全日志分析..." # 1. 分析SSH登录日志 analyze_ssh_logs() { echo "分析SSH登录日志..." # 统计登录成功次数 SUCCESS_COUNT=$(grep "Accepted password" /var/log/secure | wc -l) echo "SSH登录成功次数: $SUCCESS_COUNT" # 统计登录失败次数 FAIL_COUNT=$(grep "Failed password" /var/log/secure | wc -l) echo "SSH登录失败次数: $FAIL_COUNT" # 统计暴力破解IP echo "暴力破解IP统计:" grep "Failed password" /var/log/secure | awk '{print $(NF-3)}' | sort | uniq -c | sort -nr | head -10 } # 2. 分析系统日志 analyze_system_logs() { echo "分析系统日志..." # 统计错误日志 ERROR_COUNT=$(grep -i "error" /var/log/messages | wc -l) echo "系统错误日志数: $ERROR_COUNT" # 统计警告日志 WARN_COUNT=$(grep -i "warning" /var/log/messages | wc -l) echo "系统警告日志数: $WARN_COUNT" } # 3. 分析Web日志 analyze_web_logs() { echo "分析Web日志..." # 统计访问量 ACCESS_COUNT=$(wc -l < /var/log/nginx/access.log) echo "Web访问量: $ACCESS_COUNT" # 统计错误请求 ERROR_REQUESTS=$(grep -E " (4[0-9]{2}|5[0-9]{2}) " /var/log/nginx/access.log | wc -l) echo "错误请求数: $ERROR_REQUESTS" # 统计攻击尝试 ATTACK_COUNT=$(grep -E "(SELECT|UNION|DROP|INSERT|DELETE)" /var/log/nginx/access.log | wc -l) echo "攻击尝试数: $ATTACK_COUNT" } # 4. 生成安全报告 generate_security_report() { echo "生成安全报告..." REPORT_FILE="/tmp/security_report_$(date +%Y%m%d).txt" cat > $REPORT_FILE << REPORT 安全日志分析报告 生成时间: $(date) 一、SSH登录统计 - 成功登录: $SUCCESS_COUNT 次 - 失败登录: $FAIL_COUNT 次 二、系统日志统计 - 错误日志: $ERROR_COUNT 条 - 警告日志: $WARN_COUNT 条 三、Web访问统计 - 总访问量: $ACCESS_COUNT 次 - 错误请求: $ERROR_REQUESTS 次 - 攻击尝试: $ATTACK_COUNT 次 四、安全建议 1. 加强SSH访问控制 2. 配置防火墙规则 3. 定期更新系统补丁 4. 加强密码策略 REPORT echo "安全报告已生成: $REPORT_FILE" } # 执行分析 analyze_ssh_logs analyze_system_logs analyze_web_logs generate_security_report echo "安全日志分析完成" EOF $ chmod +x /usr/local/bin/security_log_analysis.sh
输出结果如下:
开始安全日志分析…
分析SSH登录日志…
SSH登录成功次数: 125
SSH登录失败次数: 15
暴力破解IP统计:
5 192.168.1.200
3 192.168.1.201
2 192.168.1.202
分析系统日志…
系统错误日志数: 25
系统警告日志数: 45
分析Web日志…
Web访问量: 12345
错误请求数: 125
攻击尝试数: 5
生成安全报告…
安全报告已生成: /tmp/security_report_20260403.txt
安全日志分析完成
开始安全日志分析…
分析SSH登录日志…
SSH登录成功次数: 125
SSH登录失败次数: 15
暴力破解IP统计:
5 192.168.1.200
3 192.168.1.201
2 192.168.1.202
分析系统日志…
系统错误日志数: 25
系统警告日志数: 45
分析Web日志…
Web访问量: 12345
错误请求数: 125
攻击尝试数: 5
生成安全报告…
安全报告已生成: /tmp/security_report_20260403.txt
安全日志分析完成
风哥风哥提示:安全监控是IT系统安全管理的重要组成部分,需要实时监控系统安全状态,及时发现和响应安全事件。
8. 安全事件响应
8.1 事件响应流程
# 安全事件响应脚本
$ cat > /usr/local/bin/incident_response.sh << 'EOF' #!/bin/bash INCIDENT_ID="INC-$(date +%Y%m%d%H%M%S)" INCIDENT_LOG="/var/log/security/incident_$INCIDENT_ID.log" echo "开始安全事件响应..." echo "事件ID: $INCIDENT_ID" # 1. 事件识别 identify_incident() { echo "=== 事件识别 ===" | tee -a $INCIDENT_LOG # 记录事件时间 echo "事件时间: $(date)" | tee -a $INCIDENT_LOG # 记录事件类型 echo "事件类型: $1" | tee -a $INCIDENT_LOG # 记录受影响系统 echo "受影响系统: $2" | tee -a $INCIDENT_LOG } # 2. 事件遏制 contain_incident() { echo "=== 事件遏制 ===" | tee -a $INCIDENT_LOG # 隔离受影响系统 echo "隔离受影响系统..." | tee -a $INCIDENT_LOG iptables -A INPUT -s $1 -j DROP # 禁用受影响账户 echo "禁用受影响账户..." | tee -a $INCIDENT_LOG usermod -L $2 # 停止受影响服务 echo "停止受影响服务..." | tee -a $INCIDENT_LOG systemctl stop $3 } # 3. 事件根除 eradicate_incident() { echo "=== 事件根除 ===" | tee -a $INCIDENT_LOG # 清除恶意文件 echo "清除恶意文件..." | tee -a $INCIDENT_LOG rm -f $1 # 清除恶意进程 echo "清除恶意进程..." | tee -a $INCIDENT_LOG kill -9 $2 # 修复漏洞 echo "修复漏洞..." | tee -a $INCIDENT_LOG yum update -y --security } # 4. 事件恢复 recover_incident() { echo "=== 事件恢复 ===" | tee -a $INCIDENT_LOG # 恢复服务 echo "恢复服务..." | tee -a $INCIDENT_LOG systemctl start $1 # 恢复账户 echo "恢复账户..." | tee -a $INCIDENT_LOG usermod -U $2 # 验证系统状态 echo "验证系统状态..." | tee -a $INCIDENT_LOG systemctl status $1 } # 5. 事件总结 summarize_incident() { echo "=== 事件总结 ===" | tee -a $INCIDENT_LOG # 记录事件影响 echo "事件影响: $1" | tee -a $INCIDENT_LOG # 记录改进措施 echo "改进措施: $2" | tee -a $INCIDENT_LOG # 记录经验教训 echo "经验教训: $3" | tee -a $INCIDENT_LOG } # 示例:处理暴力破解事件 identify_incident "暴力破解攻击" "SSH服务" contain_incident "192.168.1.200" "admin" "sshd" eradicate_incident "/tmp/malware" "12345" recover_incident "sshd" "admin" summarize_incident "SSH服务短暂不可用" "加强SSH访问控制" "启用多因素认证" echo "安全事件响应完成" EOF $ chmod +x /usr/local/bin/incident_response.sh
$ cat > /usr/local/bin/incident_response.sh << 'EOF' #!/bin/bash INCIDENT_ID="INC-$(date +%Y%m%d%H%M%S)" INCIDENT_LOG="/var/log/security/incident_$INCIDENT_ID.log" echo "开始安全事件响应..." echo "事件ID: $INCIDENT_ID" # 1. 事件识别 identify_incident() { echo "=== 事件识别 ===" | tee -a $INCIDENT_LOG # 记录事件时间 echo "事件时间: $(date)" | tee -a $INCIDENT_LOG # 记录事件类型 echo "事件类型: $1" | tee -a $INCIDENT_LOG # 记录受影响系统 echo "受影响系统: $2" | tee -a $INCIDENT_LOG } # 2. 事件遏制 contain_incident() { echo "=== 事件遏制 ===" | tee -a $INCIDENT_LOG # 隔离受影响系统 echo "隔离受影响系统..." | tee -a $INCIDENT_LOG iptables -A INPUT -s $1 -j DROP # 禁用受影响账户 echo "禁用受影响账户..." | tee -a $INCIDENT_LOG usermod -L $2 # 停止受影响服务 echo "停止受影响服务..." | tee -a $INCIDENT_LOG systemctl stop $3 } # 3. 事件根除 eradicate_incident() { echo "=== 事件根除 ===" | tee -a $INCIDENT_LOG # 清除恶意文件 echo "清除恶意文件..." | tee -a $INCIDENT_LOG rm -f $1 # 清除恶意进程 echo "清除恶意进程..." | tee -a $INCIDENT_LOG kill -9 $2 # 修复漏洞 echo "修复漏洞..." | tee -a $INCIDENT_LOG yum update -y --security } # 4. 事件恢复 recover_incident() { echo "=== 事件恢复 ===" | tee -a $INCIDENT_LOG # 恢复服务 echo "恢复服务..." | tee -a $INCIDENT_LOG systemctl start $1 # 恢复账户 echo "恢复账户..." | tee -a $INCIDENT_LOG usermod -U $2 # 验证系统状态 echo "验证系统状态..." | tee -a $INCIDENT_LOG systemctl status $1 } # 5. 事件总结 summarize_incident() { echo "=== 事件总结 ===" | tee -a $INCIDENT_LOG # 记录事件影响 echo "事件影响: $1" | tee -a $INCIDENT_LOG # 记录改进措施 echo "改进措施: $2" | tee -a $INCIDENT_LOG # 记录经验教训 echo "经验教训: $3" | tee -a $INCIDENT_LOG } # 示例:处理暴力破解事件 identify_incident "暴力破解攻击" "SSH服务" contain_incident "192.168.1.200" "admin" "sshd" eradicate_incident "/tmp/malware" "12345" recover_incident "sshd" "admin" summarize_incident "SSH服务短暂不可用" "加强SSH访问控制" "启用多因素认证" echo "安全事件响应完成" EOF $ chmod +x /usr/local/bin/incident_response.sh
输出结果如下:
开始安全事件响应…
事件ID: INC-20260403103045
=== 事件识别 ===
事件时间: Fri Apr 3 10:30:45 CST 2026
事件类型: 暴力破解攻击
受影响系统: SSH服务
=== 事件遏制 ===
隔离受影响系统…
禁用受影响账户…
停止受影响服务…
=== 事件根除 ===
清除恶意文件…
清除恶意进程…
修复漏洞…
=== 事件恢复 ===
恢复服务…
恢复账户…
验证系统状态…
=== 事件总结 ===
事件影响: SSH服务短暂不可用
改进措施: 加强SSH访问控制
经验教训: 启用多因素认证
安全事件响应完成
开始安全事件响应…
事件ID: INC-20260403103045
=== 事件识别 ===
事件时间: Fri Apr 3 10:30:45 CST 2026
事件类型: 暴力破解攻击
受影响系统: SSH服务
=== 事件遏制 ===
隔离受影响系统…
禁用受影响账户…
停止受影响服务…
=== 事件根除 ===
清除恶意文件…
清除恶意进程…
修复漏洞…
=== 事件恢复 ===
恢复服务…
恢复账户…
验证系统状态…
=== 事件总结 ===
事件影响: SSH服务短暂不可用
改进措施: 加强SSH访问控制
经验教训: 启用多因素认证
安全事件响应完成
9. 合规管理
9.1 合规检查
# 合规检查脚本
$ cat > /usr/local/bin/compliance_check.sh << 'EOF' #!/bin/bash echo "开始合规检查..." # 1. 检查密码策略合规性 check_password_policy() { echo "检查密码策略合规性..." # 检查密码长度 MIN_LEN=$(grep "minlen" /etc/security/pwquality.conf | awk '{print $3}') if [ "$MIN_LEN" -ge 12 ]; then echo "密码长度合规: $MIN_LEN" else echo "密码长度不合规: $MIN_LEN (要求: 12)" fi # 检查密码复杂度 MIN_CLASS=$(grep "minclass" /etc/security/pwquality.conf | awk '{print $3}') if [ "$MIN_CLASS" -ge 4 ]; then echo "密码复杂度合规: $MIN_CLASS" else echo "密码复杂度不合规: $MIN_CLASS (要求: 4)" fi } # 2. 检查访问控制合规性 check_access_control() { echo "检查访问控制合规性..." # 检查root登录 ROOT_LOGIN=$(grep "PermitRootLogin" /etc/ssh/sshd_config | awk '{print $2}') if [ "$ROOT_LOGIN" = "no" ]; then echo "禁止root登录合规" else echo "禁止root登录不合规" fi # 检查sudo权限 SUDO_USERS=$(grep -r "ALL=(ALL)" /etc/sudoers.d/ | wc -l) echo "具有完全sudo权限的用户数: $SUDO_USERS" } # 3. 检查日志审计合规性 check_audit_compliance() { echo "检查日志审计合规性..." # 检查审计服务状态 if systemctl is-active auditd > /dev/null; then
echo “审计服务运行正常”
else
echo “审计服务未运行”
fi
$ cat > /usr/local/bin/compliance_check.sh << 'EOF' #!/bin/bash echo "开始合规检查..." # 1. 检查密码策略合规性 check_password_policy() { echo "检查密码策略合规性..." # 检查密码长度 MIN_LEN=$(grep "minlen" /etc/security/pwquality.conf | awk '{print $3}') if [ "$MIN_LEN" -ge 12 ]; then echo "密码长度合规: $MIN_LEN" else echo "密码长度不合规: $MIN_LEN (要求: 12)" fi # 检查密码复杂度 MIN_CLASS=$(grep "minclass" /etc/security/pwquality.conf | awk '{print $3}') if [ "$MIN_CLASS" -ge 4 ]; then echo "密码复杂度合规: $MIN_CLASS" else echo "密码复杂度不合规: $MIN_CLASS (要求: 4)" fi } # 2. 检查访问控制合规性 check_access_control() { echo "检查访问控制合规性..." # 检查root登录 ROOT_LOGIN=$(grep "PermitRootLogin" /etc/ssh/sshd_config | awk '{print $2}') if [ "$ROOT_LOGIN" = "no" ]; then echo "禁止root登录合规" else echo "禁止root登录不合规" fi # 检查sudo权限 SUDO_USERS=$(grep -r "ALL=(ALL)" /etc/sudoers.d/ | wc -l) echo "具有完全sudo权限的用户数: $SUDO_USERS" } # 3. 检查日志审计合规性 check_audit_compliance() { echo "检查日志审计合规性..." # 检查审计服务状态 if systemctl is-active auditd > /dev/null; then
echo “审计服务运行正常”
else
echo “审计服务未运行”
fi
# 检查审计规则
AUDIT_RULES=$(auditctl -l | wc -l)
echo “审计规则数量: $AUDIT_RULES”
}
# 4. 检查网络安全合规性
check_network_security() {
echo “检查网络安全合规性…”
# 检查防火墙状态
if systemctl is-active iptables > /dev/null; then
echo “防火墙运行正常”
else
echo “防火墙未运行”
fi
# 检查开放端口
OPEN_PORTS=$(netstat -tuln | grep LISTEN | wc -l)
echo “开放端口数量: $OPEN_PORTS”
}
# 5. 生成合规报告
generate_compliance_report() {
echo “生成合规报告…”
REPORT_FILE=”/tmp/compliance_report_$(date +%Y%m%d).txt”
cat > $REPORT_FILE << REPORT 合规检查报告 生成时间: $(date) 一、密码策略合规性 - 密码长度: $MIN_LEN - 密码复杂度: $MIN_CLASS 二、访问控制合规性 - 禁止root登录: $ROOT_LOGIN - Sudo用户数: $SUDO_USERS 三、日志审计合规性 - 审计服务状态: 正常 - 审计规则数: $AUDIT_RULES 四、网络安全合规性 - 防火墙状态: 正常 - 开放端口数: $OPEN_PORTS 五、合规建议 1. 加强密码策略 2. 优化访问控制 3. 完善审计规则 4. 加强网络安全 REPORT echo "合规报告已生成: $REPORT_FILE" } # 执行合规检查 check_password_policy check_access_control check_audit_compliance check_network_security generate_compliance_report echo "合规检查完成" EOF $ chmod +x /usr/local/bin/compliance_check.sh
输出结果如下:
开始合规检查…
检查密码策略合规性…
密码长度合规: 12
密码复杂度合规: 4
检查访问控制合规性…
禁止root登录合规
具有完全sudo权限的用户数: 2
检查日志审计合规性…
审计服务运行正常
审计规则数量: 15
检查网络安全合规性…
防火墙运行正常
开放端口数量: 5
生成合规报告…
合规报告已生成: /tmp/compliance_report_20260403.txt
合规检查完成
开始合规检查…
检查密码策略合规性…
密码长度合规: 12
密码复杂度合规: 4
检查访问控制合规性…
禁止root登录合规
具有完全sudo权限的用户数: 2
检查日志审计合规性…
审计服务运行正常
审计规则数量: 15
检查网络安全合规性…
防火墙运行正常
开放端口数量: 5
生成合规报告…
合规报告已生成: /tmp/compliance_report_20260403.txt
合规检查完成
更多学习教程公众号风哥教程itpux_com
10. 最佳实践
10.1 安全管理原则
生产环境风哥建议:
– 建立完善的安全管理体系和制度
– 实施最小权限原则和职责分离
– 定期进行安全评估和渗透测试
– 及时更新系统补丁和安全配置
– 加强员工安全意识和技能培训
– 建立完善的安全管理体系和制度
– 实施最小权限原则和职责分离
– 定期进行安全评估和渗透测试
– 及时更新系统补丁和安全配置
– 加强员工安全意识和技能培训
10.2 安全配置清单
# 安全配置清单
# 1. 账户安全
– 禁用root远程登录
– 配置密码复杂度要求
– 启用账户锁定策略
– 定期审查用户权限
# 1. 账户安全
– 禁用root远程登录
– 配置密码复杂度要求
– 启用账户锁定策略
– 定期审查用户权限
# 2. 网络安全
– 配置防火墙规则
– 启用入侵检测系统
– 加密网络通信
– 定期扫描开放端口
# 3. 系统安全
– 及时更新系统补丁
– 关闭不必要的服务
– 配置安全审计
– 加固系统配置
# 4. 应用安全
– 输入验证和过滤
– 输出编码和转义
– 会话管理
– 错误处理
# 5. 数据安全
– 数据分类分级
– 数据加密存储
– 数据备份恢复
– 数据访问控制
10.3 安全监控指标
# 安全监控指标
# 1. 登录监控
– 登录成功/失败次数
– 暴力破解尝试
– 异常登录时间
– 异常登录地点
# 1. 登录监控
– 登录成功/失败次数
– 暴力破解尝试
– 异常登录时间
– 异常登录地点
# 2. 系统监控
– CPU/内存/磁盘使用率
– 进程异常
– 文件变更
– 系统错误
# 3. 网络监控
– 网络连接数
– 异常流量
– 端口扫描
– DDoS攻击
# 4. 应用监控
– 应用错误
– 异常请求
– SQL注入尝试
– XSS攻击尝试
10.4 应急响应流程
生产环境风哥建议:
– 建立完善的应急响应流程
– 定期进行应急演练
– 准备应急响应工具包
– 建立应急响应团队
– 记录和总结应急响应经验
– 建立完善的应急响应流程
– 定期进行应急演练
– 准备应急响应工具包
– 建立应急响应团队
– 记录和总结应急响应经验
10.5 安全培训计划
# 安全培训计划
$ cat > /etc/security/training_plan.txt << 'EOF' IT系统安全培训计划 一、培训目标 1. 提高员工安全意识 2. 掌握基本安全技能 3. 了解安全管理制度 4. 熟悉应急响应流程 二、培训内容 1. 安全意识培训 - 安全威胁认知 - 安全行为规范 - 社会工程学防范 2. 安全技能培训 - 密码管理 - 邮件安全 - 终端安全 3. 安全管理培训 - 安全策略 - 访问控制 - 数据保护 4. 应急响应培训 - 事件识别 - 事件报告 - 应急处置 三、培训方式 1. 在线培训 2. 集中培训 3. 实战演练 4. 安全竞赛 四、培训周期 1. 新员工入职培训 2. 季度安全培训 3. 年度安全培训 4. 专项安全培训 EOF
$ cat > /etc/security/training_plan.txt << 'EOF' IT系统安全培训计划 一、培训目标 1. 提高员工安全意识 2. 掌握基本安全技能 3. 了解安全管理制度 4. 熟悉应急响应流程 二、培训内容 1. 安全意识培训 - 安全威胁认知 - 安全行为规范 - 社会工程学防范 2. 安全技能培训 - 密码管理 - 邮件安全 - 终端安全 3. 安全管理培训 - 安全策略 - 访问控制 - 数据保护 4. 应急响应培训 - 事件识别 - 事件报告 - 应急处置 三、培训方式 1. 在线培训 2. 集中培训 3. 实战演练 4. 安全竞赛 四、培训周期 1. 新员工入职培训 2. 季度安全培训 3. 年度安全培训 4. 专项安全培训 EOF
10.6 安全管理制度
# 安全管理制度
$ cat > /etc/security/management_system.txt << 'EOF' IT系统安全管理制度 一、总则 1. 目的:保障IT系统安全运行 2. 范围:所有IT系统和相关人员 3. 责任:各部门安全职责 二、安全管理组织 1. 安全管理委员会 2. 信息安全部门 3. IT运维部门 4. 业务部门 三、安全管理制度 1. 访问控制制度 2. 密码管理制度 3. 网络安全制度 4. 数据安全制度 5. 应急响应制度 四、安全管理流程 1. 安全事件报告流程 2. 权限申请流程 3. 变更管理流程 4. 应急响应流程 五、安全管理考核 1. 安全指标考核 2. 安全事件考核 3. 安全培训考核 4. 安全审计考核 EOF
$ cat > /etc/security/management_system.txt << 'EOF' IT系统安全管理制度 一、总则 1. 目的:保障IT系统安全运行 2. 范围:所有IT系统和相关人员 3. 责任:各部门安全职责 二、安全管理组织 1. 安全管理委员会 2. 信息安全部门 3. IT运维部门 4. 业务部门 三、安全管理制度 1. 访问控制制度 2. 密码管理制度 3. 网络安全制度 4. 数据安全制度 5. 应急响应制度 四、安全管理流程 1. 安全事件报告流程 2. 权限申请流程 3. 变更管理流程 4. 应急响应流程 五、安全管理考核 1. 安全指标考核 2. 安全事件考核 3. 安全培训考核 4. 安全审计考核 EOF
生产环境风哥建议:
– 定期审查和更新安全管理制度
– 加强安全管理制度的执行力度
– 建立安全管理考核机制
– 持续改进安全管理体系
– 提高全员安全意识和技能
– 定期审查和更新安全管理制度
– 加强安全管理制度的执行力度
– 建立安全管理考核机制
– 持续改进安全管理体系
– 提高全员安全意识和技能
author:www.itpux.com
本文由风哥教程整理发布,仅用于学习测试使用,转载注明出处:http://www.fgedu.net.cn/10327.html
联系我们
在线咨询:
微信号:itpux-com
工作日:9:30-18:30,节假日休息