centos定时器如何安全性检查
导读:CentOS 定时器安全性检查清单 一 快速巡检流程 确认服务与日志可达:检查 crond 是否运行(如 systemctl status crond),并确认 /var/log/cron 或 /var/log/messages 正在记录...
CentOS 定时器安全性检查清单
一 快速巡检流程
- 确认服务与日志可达:检查 crond 是否运行(如 systemctl status crond),并确认 /var/log/cron 或 /var/log/messages 正在记录计划任务相关日志。
- 全量清点任务清单:
- 系统级:/etc/crontab、/etc/cron.d/ 目录、以及 /etc/cron.hourly/、/etc/cron.daily/、/etc/cron.weekly/、/etc/cron.monthly/ 下的可执行脚本。
- 用户级:对 /etc/passwd 中的每个用户执行 crontab -u < 用户> -l;同时核对 /var/spool/cron/ 下对应用户文件是否存在且未被篡改。
- 重点排查异常特征:命令中是否包含 curl/wget|bash/sh -c|/dev/tcp 等外联或管道拉取执行;是否出现可疑 IP/域名 与高频短周期(如 /5、/1 分钟)任务;是否从 /tmp、/var/tmp、/dev/shm 等临时目录执行脚本。
- 关联验证:结合进程与网络连接,定位任务对应的可执行文件与来源,避免仅停留在“定时任务”层面。
二 重点检查清单与命令示例
| 检查项 | 关键路径或命令 | 关注点与处置 |
|---|---|---|
| 服务与日志 | systemctl status crond;tail -f /var/log/cron | 服务未运行立即启用;日志中出现失败/异常执行需跟进 |
| 系统级配置 | cat /etc/crontab;ls -l /etc/cron.d/;run-parts --test /etc/cron.hourly | 检查 MAILTO、执行用户、脚本权限;对陌生脚本先离线与复核 |
| 用户级任务 | for u in $(cut -d: -f1 /etc/passwd); do crontab -u “$u” -l 2> /dev/null; done | 发现异常用户或异常任务,先禁用任务再溯源 |
| 用户 spool 文件 | ls -l /var/spool/cron/ | 核对属主与权限;异常者先备份后封存 |
| anacron 与周期任务 | cat /etc/anacrontab;ls -l /etc/cron.* | 笔记本/非7x24主机常见;检查 @daily/@weekly 等条目是否被植入 |
| 可疑特征 | grep -R "curl | wget |
| 临时目录执行 | grep -R “/tmp|/var/tmp|/dev/shm” /etc/cron* /var/spool/cron 2> /dev/null | 临时目录脚本一律禁止,迁移到受控目录并加固权限 |
| 关联进程与网络 | ps -ef | grep -E "curl |
三 高风险特征与处置要点
- 典型恶意迹象:
- 高频短周期任务(如 /5、/1 分钟)反复拉取脚本执行(如 curl/wget … | sh)。
- 使用 /dev/tcp 直连外部主机绕过本地防火墙。
- 脚本存放在 /tmp、/var/tmp、/dev/shm 等可写目录。
- 任务文件被设置异常属性(如 i/a 不可改/不可删),常见于持久化后门。
- 处置顺序:
- 立即隔离:暂停 crond(systemctl stop crond),阻断外联(临时封禁可疑 IP/域名)。
- 固化证据:备份并归档可疑脚本、任务内容与相关日志。
- 清理与恢复:删除恶意任务;对被设 i/a 属性的文件执行 chattr -ia < 文件> 后降权(如 chmod 400),再恢复 crond。
- 溯源加固:排查进程、启动项、SSH 公钥、WebShell 与网络连接,完成补丁与访问控制整改。
四 加固与长期监控
- 访问控制:使用 /etc/cron.allow 白名单与 /etc/cron.deny 黑名单,仅允许必要账户使用 crontab;禁用不必要的系统/应用账户。
- 最小权限:系统级任务以 root 明确执行用户;脚本使用专用低权限账号;禁止从 /tmp 等临时目录直接执行。
- 文件与目录:对 /etc/cron*、/var/spool/cron 设置严格权限(如 root:root,750/600),并纳入 auditd 监控关键文件的读写与属性变更。
- 变更审计与备份:对 /etc/cron.d/ 与 /var/spool/cron/ 建立 基线快照 与 定期比对;变更前后留存 diff 与工单记录。
- 日志与告警:集中采集 /var/log/cron,对包含 curl/wget|/dev/tcp 或高频短周期的任务建立 实时告警;定期抽样复核 /etc/cron.*/ 与 /var/spool/cron/ 的一致性。
声明:本文内容由网友自发贡献,本站不承担相应法律责任。对本内容有异议或投诉,请联系2913721942#qq.com核实处理,我们将尽快回复您,谢谢合作!
若转载请注明出处: centos定时器如何安全性检查
本文地址: https://pptw.com/jishu/763574.html