Debian Context怎样进行安全审计
导读:Debian 安全审计实操指南 一 审计框架与准备 明确审计目标与范围:覆盖账户与身份鉴别、远程访问、本地提权、文件与配置变更、网络与防火墙、应用与数据库、完整性校验等关键域。 建立基线:记录当前系统版本、内核、已安装软件包、开放端口、运...
Debian 安全审计实操指南
一 审计框架与准备
- 明确审计目标与范围:覆盖账户与身份鉴别、远程访问、本地提权、文件与配置变更、网络与防火墙、应用与数据库、完整性校验等关键域。
- 建立基线:记录当前系统版本、内核、已安装软件包、开放端口、运行服务、防火墙规则、关键配置文件校验值(如 SHA256),便于后续差异比对。
- 加固审计环境:
- 启用并保护日志服务(如 rsyslog/syslog-ng),确保审计日志不可随意删除或篡改,必要时配置远程集中日志与留存周期≥180天。
- 安装并启用 auditd(Linux 审计框架),作为细粒度审计的核心组件。
- 安装合规扫描与基线核查工具 Lynis,用于发现常见风险与加固建议。
二 日志与审计服务配置
- 系统日志与关键文件:
- 重点文件:/var/log/syslog、/var/log/auth.log、/var/log/kern.log、/var/log/dmesg;服务日志如 /var/log/apache2/、/var/log/mysql/ 等。
- 例行检查:查看失败登录、异常 sudo、内核告警、可疑网络连接等模式;可用 Logwatch、Splunk、ELK 做聚合分析与可视化。
- auditd 细粒度审计:
- 安装与启动:
sudo apt install auditd & & sudo systemctl enable --now auditd(确保 rsyslog 已运行以落盘)。 - 规则示例(写入 /etc/audit/rules.d/audit.rules):
- 监控关键文件:
sudo auditctl -w /etc/passwd -p wa -k identity - 监控 sudo 使用:
sudo auditctl -a always,exit -F path=/usr/bin/sudo -F perm=x -k sudo_usage - 监控 SSH 登录:
sudo auditctl -a always,exit -F path=/usr/sbin/sshd -F perm=x -k sshd_exec - 按用户/组:
sudo auditctl -a always,exit -F euid=1000 -S execve -k user_cmd_1000
- 监控关键文件:
- 查询与分析:
ausearch -k identity、ausearch -x /usr/bin/sudo、aureport -a -i、aureport --login。
- 安装与启动:
- 日志留存与集中:
- 配置 rsyslog 转发至日志审计服务器,并在审计端设置保存≥180天;对审计进程与日志目录设置访问控制与完整性保护。
三 主机与网络加固的审计要点
- 系统与软件更新:定期执行
sudo apt update & & sudo apt upgrade,及时修补漏洞;遵循最小安装与禁用不必要服务/端口。 - 身份与访问控制:
- 禁止 root 远程登录:
sudo sed -i 's/^#*PermitRootLogin.*/PermitRootLogin no/' /etc/ssh/sshd_config - 强制 SSH 密钥认证、禁用密码登录:
PasswordAuthentication no - 强化口令策略(/etc/login.defs):如
PASS_MAX_DAYS 90、PASS_MIN_LEN 12,并启用 PAM 复杂度模块(如 pam_cracklib)。
- 禁止 root 远程登录:
- 防火墙与网络边界:
- 核查规则:
sudo iptables -L -n -v;仅开放必要端口(如 22/80/443),对管理口实施源地址限制;必要时使用 ufw 简化策略管理。
- 核查规则:
- 完整性保护:
- 启用 AppArmor 并核查状态:
sudo aa-status;将关键应用(如 sshd、nginx、mysqld)置于强制模式,对异常访问生成审计记录。
- 启用 AppArmor 并核查状态:
四 自动化扫描与持续监控
- 合规与基线扫描:
- Lynis:
sudo apt install lynis & & sudo lynis audit system,关注高风险项(内核、服务、SSH、文件权限、日志与审计等)并逐项整改。
- Lynis:
- 入侵检测与阻断:
- Fail2Ban:监控 auth.log 等失败行为并自动封禁恶意 IP,降低暴力破解与扫描风险。
- 集中监控与告警:
- 使用 Nagios/Zabbix 对系统资源、服务可用性、登录异常等进行监控与阈值告警;结合 Logwatch/ELK/Splunk 做日志关联分析。
五 审计流程与交付物
- 建议流程:
- 建立基线 → 2) 部署并验证 auditd/rsyslog → 3) 配置防火墙与 SSH 加固 → 4) 执行 Lynis 基线扫描 → 5) 配置 Fail2Ban 与监控告警 → 6) 定期复核与整改 → 7) 形成审计报告与变更记录。
- 交付物清单:
- 系统基线快照(版本、内核、软件包、端口、服务、规则、校验值)
- auditd 规则清单与关键事件查询命令
- 日志目录与留存策略说明(含远程集中与≥180天留存)
- Lynis 报告与整改计划
- 防火墙与 SSH 配置变更记录
- 月度/季度审计复查报告与处置闭环记录
声明:本文内容由网友自发贡献,本站不承担相应法律责任。对本内容有异议或投诉,请联系2913721942#qq.com核实处理,我们将尽快回复您,谢谢合作!
若转载请注明出处: Debian Context怎样进行安全审计
本文地址: https://pptw.com/jishu/762005.html