如何使用Linux exploit进行安全审计

Linux Exploit 安全审计实操指南

一、目标与原则

• 以“攻防演练”的方式验证安全控制，遵循最小权限、可回滚、可审计的原则，所有测试需取得系统所有者书面授权，在隔离网络/实验环境进行，避免对生产系统造成破坏或数据泄露。
• 审计目标包括：发现可被利用的内核/服务/配置弱点、验证检测与响应能力、输出可复现的修复清单与加固基线。

二、审计流程与关键检查点

• 资产与暴露面梳理
  • 端口与服务：使用nmap识别开放端口、服务与版本，关注高风险服务（如Samba 139/445、旧版Bash CGI等）。
  • 系统与应用清单：核对内核、发行版、中间件与第三方组件版本，建立变更台账。
• 本地提权面检查
  • 高危配置：SUID/GUID 可执行文件、sudo 规则、cron 与 systemd 任务、NFS 导出与权限、LD_PRELOAD/内核模块 等。
  • 内核与内核模块：内核版本、可加载模块、是否启用不安全模块/旧补丁。
• 日志与审计能力
  • 系统日志：/var/log/auth.log、/var/log/syslog、/var/log/kern.log 等是否存在异常登录、权限变更、服务异常。
  • 审计子系统：auditd 是否启用、关键目录/文件的系统调用是否被记录。
• 文件与完整性
  • 关键系统文件与配置是否被篡改，是否存在可疑二进制/后门。
• 网络与主机行为
  • 是否存在异常外连、端口扫描、暴力登录、WebShell 特征等。
• 合规与基线
  • 对照CIS 等基线进行配置核查与整改。

三、工具与命令清单（含示例）

• 合规与基线
  • OpenSCAP：CIS/STIG 基线核查
    • Ubuntu 示例：sudo oscap xccdf eval --profile xccdf_org.ssgproject.content_profile_cis /usr/share/xml/scap/ssg/content/ssg-ubuntu2204-ds.xml
    • RHEL/CentOS 示例：sudo oscap xccdf eval --profile stig-rhel7-server-upstream /usr/share/xml/scap/ssg/content/ssg-rhel7-ds.xml
  • Lynis：系统强化与审计
    • sudo lynis audit system
• 漏洞扫描与枚举
  • 网络层：nmap -sS -Pn -T4 -p- -A -v < target_ip> （识别服务与潜在漏洞）
  • 漏洞管理：OpenVAS/GVM（全面漏洞扫描）、Nessus（商业漏洞扫描）
  • 本地提权建议：Linux-Exploit-Suggester / linux-exploit-suggester2、LinEnum、linuxprivchecker（仅用于授权审计）
• 文件完整性与主机入侵检测
  • AIDE：sudo aideinit 初始化；定期 aide --check 并邮件报告
  • 实时监控：auditd 规则示例 sudo auditctl -w /etc/ -p wa -k etc_changes；查询 ausearch -k etc_changes | aureport -f -i
  • Rootkit/后门：rkhunter、chkrootkit
• 日志与 SIEM
  • 集中与可视化：ELK Stack（Elasticsearch/Logstash/Kibana）、Splunk
  • 主机日志聚合：rsyslog 远程日志、sudo mkdir -p /var/log/journal & & sudo systemctl restart systemd-journald
• 网络与主机行为监控
  • 流量分析：tcpdump、Wireshark
  • 入侵检测：Snort、Suricata；结合 YARA 规则识别 WebShell/可疑载荷

四、验证性测试与证据留存

• 内核/本地提权
  • 使用 Linux-Exploit-Suggester 输出“可能可利用”的内核/本地漏洞清单，在实验环境验证 PoC 的可复现性与影响范围；记录触发条件、系统调用与日志证据。
• 服务与 CGI 类
  • 针对历史高危漏洞进行受控验证（如 Samba usermap_script、Bash Shellshock），仅限授权靶机：
    • Samba：search samba; use exploit/multi/samba/usermap_script; set rhosts < IP> ; run
    • Shellshock：在 CGI 环境构造恶意环境变量触发命令执行，验证 WAF/IDS 是否告警与阻断。
• Web 与后门
  • 使用 Suricata+YARA 检测 WebShell 特征（如 eval($_POST、< %@ page import="java.io.*"），验证规则命中与处置流程。
• 证据留存
  • 保存：命令输出、抓包文件（.pcap）、auditd 日志片段、AIDE 差异报告、漏洞扫描报告、处置工单与回滚方案。

五、处置与加固清单

• 系统与软件
  • 及时更新补丁：Debian 系 sudo apt-get update & & sudo apt-get upgrade；RHEL/CentOS 系 sudo dnf updateinfo list updates --security 并应用安全更新。
• 账户与权限
  • 清理空口令/弱口令账户；收敛 sudo 权限；禁止 root 远程登录；限制 SSH 认证方式（如 PermitRootLogin prohibit-password、PasswordAuthentication no、MaxAuthTries 3）。
• 服务与端口
  • 关闭不必要服务与端口；仅开放业务必需端口；对高危服务（如 Samba、旧版 CGI）升级或替换；审查 NFS 导出与权限。
• 文件与完整性
  • 部署 AIDE 定期校验；对 /etc、/usr/bin、/usr/sbin 等关键目录设置 auditd 监控；对新增/变更文件进行来源与签名校验。
• 网络与边界
  • 最小暴露面：仅放行业务必需端口；使用 nftables/ufw 实施白名单策略；对暴力登录与扫描启用 fail2ban 自动封禁。
• 日志与检测
  • 启用并集中系统日志/审计日志；部署 Snort/Suricata+ELK/Splunk 进行实时检测与告警；定期演练与优化检测规则。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！