MGabsi-cmd/linux-security-hardening-lab

# Linux 安全加固与事件响应实验 ## 概述 本项目在 SOC/DevSecOps 环境中模拟了真实世界中的 Linux 安全事件响应与加固过程。 目标是调查 Linux 工作站上的可疑活动，识别安全弱点，应用修复措施，并使用 Bash 脚本自动化安全操作。 本项目包含： - 安全审计 - 事件分诊与时间线生成 - 文件系统加固 - 身份验证与 sudo 策略加固 - 持久化日志配置 - SOC 风格报告 - 具备完整性校验的加密备份 - 基于 Bash 的自动化编排 # 场景 一台 Linux 工作站 (`wkst-soc-07`) 在检测到可疑活动后被隔离： - 在工作时间之外的异常 sudo 使用 - 身份验证失败 - 在临时目录中发现可疑压缩包 - 日志不完整或未持久化 执行了完整的审计与修复过程以保护系统安全，并生成了可复用的自动化脚本。 # 功能 - 自动化 Linux 安全审计 - 事件时间线生成 - Sudo 与身份验证事件分析 - 文件系统权限与 ACL 加固 - SUID/SGID 清查与缓解 - PAM 身份验证加固 - 持久化 journald 日志记录 - 每日适配 SOC 的安全报告 - 加密备份与恢复验证 - SHA256 完整性校验 - 中心编排脚本 (`secctl.sh`) # 项目结构 ``` linux-security-hardening-lab/ │ ├── README.md ├── LICENSE ├── .gitignore │ ├── config/ ├── scripts/ ├── output/ ├── evidence/ ├── backups/ └── docs/ ``` # 脚本 | 脚本 | 描述 | |---|---| | `secctl.sh` | 主编排脚本 | | `01_audit_before.sh` | 系统审计与 JSON 报告 | | `02_incident_triage.sh` | 事件分诊与时间线 | | `03_harden_fs.sh` | 文件系统加固与 ACL | | `04_harden_auth.sh` | 身份验证与 sudo 加固 | | `05_logging.sh` | 持久化 journald 配置 | | `06_logwatch.sh` | 每日 SOC 安全报告 | | `07_crypto_backup.sh` | 加密备份与轮换 | | `08_restore_verify.sh` | 备份恢复验证 | # 使用方法 ## 运行完整安全工作流 ``` sudo ./scripts/secctl.sh full ``` ## 仅运行审计 ``` sudo ./scripts/secctl.sh audit ``` ## 运行事件分诊 ``` sudo ./scripts/secctl.sh triage ``` ## 运行加固 ``` sudo ./scripts/secctl.sh harden ``` # 实施的安全控制措施 ## 文件系统安全 - ACL 配置 - 移除不安全的权限 - SUID/SGID 清查 - 共享安全目录 ## 身份验证加固 - PAM 控制 - 密码复杂性策略 - 账户锁定配置 - sudo 策略加固 ## 日志记录 - 持久化 journald 日志 - 每日安全报告 - 身份验证监控 - sudo 事件监控 ## 备份安全 - GPG 加密备份 - SHA256 完整性校验 - 备份轮换管理 # 证据与验证 本项目包含： - 安全审计报告 - 事件时间线 - 截图与电子取证证据 - 加密备份验证 - 恢复验证测试 所有证据存储在： ``` evidence/ ``` # 使用的技术 - Linux - Bash - systemd - journald - PAM - ACL - GPG - SHA256 - Git & GitHub # 未来改进 - SIEM 集成 - auditd 监控 - 集中式日志记录 - IDS 集成 - Ansible 部署自动化 # 作者 MGabsi 网络安全 / SOC / Linux 安全实验室

标签：DevSecOps, GitHub Advanced Security, HTTP工具, PAM认证, SUID/SGID, 上游代理, 安全加固, 安全基线, 安全报告, 安全管理, 安全运营, 完整性校验, 库, 应急响应, 应用安全, 扫描框架, 教学环境, 数字取证, 数据备份, 文件系统安全, 特权账号安全, 系统加固, 网络安全, 网络安全研究, 脚本编程, 自动化脚本, 自动化运维, 隐私保护