Aryan-prmm/Linux-Security-Investigation-Guide

# 面向 SOC 分析师的 Linux 指南 一份面向安全实操的指南，介绍如何使用 Linux 进行日志分析、事件调查和基础威胁检测。 本仓库专为想要构建实战 Linux 调查技能的初级 SOC 分析师设计。 ## 为什么 Linux 在 SOC 中很重要 许多生产服务器运行 Linux。SOC 分析师经常分析： - SSH 认证日志 - sudo 活动 - 文件权限配置不当 - 可疑进程 - 网络连接 具备调查级别的 Linux 知识对于检测权限提升、暴力破解攻击和持久化技术至关重要。 ## 安全监控的重要目录 ### /etc/passwd 包含用户账户信息。 安全相关性： - 检测新用户创建 - 检查登录 shell 修改 ### /etc/shadow 存储密码哈希。 安全相关性： - 绝不能对所有用户可读 - 泄露 = 机密性违规 ### /etc/group 存储组成员关系。 安全相关性： - 检测权限提升（sudo 组变更） ### /var/log 包含系统和认证日志。 安全相关性： - 主要的调查数据来源 ## 文件权限 (rwx) 权限结构： 所有者 | 组 | 其他 数值： r = 4 w = 2 x = 1 示例： -rwxr-xr-x = 755 ### 安全风险：全局可写文件 (777) 如果一个 root 所有的文件具有 777 权限： - 任何用户都可以修改它 - 如果由 root 执行，攻击者可以提升权限 - 这违反了系统完整性

标签：AMSI绕过, BurpSuite集成, Cutter, /etc/passwd, incident response, PB级数据处理, SOC分析, SSH日志, /var/log, 入侵调查, 关系图谱, 基线检查, 威胁检测, 安全运维, 教程, 权限分析, 特权升级, 网络安全, 速率限制, 隐私保护