derejetadesse/cloud-security-engineering-lab

GitHub: derejetadesse/cloud-security-engineering-lab

一个基于真实VPS的云安全工程实验室,通过动手实践提升系统加固、容器安全、SIEM监控和事件响应技能。

Stars: 0 | Forks: 0

# 🛡️ 云安全工程实验室 ![Status](https://img.shields.io/badge/Status-In_Progress-yellow) ![Phase](https://img.shields.io/badge/Current_Phase-1_VPS_Hardening-blue) ![Last Updated](https://img.shields.io/badge/Updated-May_2026-green) ## 📖 项目概述 本项目是我基于生产环境 Ubuntu VPS(Hostinger)搭建的实践性云安全工程实验室。 目标是获得**真实、生产级别的经验**,涵盖: - ☁️ 云安全工程 - 🐧 Linux 加固(CIS 基准) - 🐳 Docker 容器安全 - 📊 使用 Wazuh 进行 SIEM 监控 - 🚨 事件响应 - 🔔 监控与告警 - ⚙️ DevSecOps 基础 - 🤖 安全自动化 ## 🛠️ 使用技术 | 类别 | 工具 | |----------|-------| | **操作系统** | Ubuntu Server 22.04 LTS | | **容器** | Docker, Docker Compose | | **SIEM/XDR** | Wazuh | | **防火墙** | UFW (Uncomplicated Firewall) | | **入侵防御** | fail2ban | | **审计** | Lynis, Nessus Essentials | | **版本控制** | Git, GitHub | | **脚本** | Bash, Python | | **监控** | Wazuh Dashboard, Sysmon | ## 🎯 项目目标 - ✅ 构建实用的、动手操作的网络安全技能 - ✅ 创建向雇主展示真实能力的项目组合 - ✅ 记录安全配置与决策过程 - ✅ 在受控环境中练习事件响应 - ✅ 为 SOC 分析师和安全工程师职位做准备 ## 📅 阶段 1 — VPS 加固 **状态:** 🚧 进行中 **目标:** 应用 CIS 基准来加固一个生产环境的 Ubuntu VPS ### 任务清单 - [ ] 安全 Ubuntu VPS 基线设置 - [ ] 创建具有 sudo 权限的非 root 用户 - [ ] 禁用 root 的 SSH 登录 - [ ] 配置基于密钥的 SSH 认证(禁用密码认证) - [ ] 安装和配置 UFW 防火墙 - [ ] 启用 fail2ban 防暴力破解 - [ ] 启用自动安全更新 - [ ] 运行 Lynis 审计并记录分数提升 ### 交付物 - 📄 `phase-1-vps-hardening/ssh-hardening.md` - 📄 `phase-1-vps-hardening/ufw-configuration.md` - 📄 `phase-1-vps-hardening/fail2ban-setup.md` - 📸 Lynis 审计前后的截图 ## 🐳 阶段 2 — Docker 安全 **状态:** ⏳ 即将开始 **目标:** 部署并保护容器化工作负载 ### 任务清单 - [ ] 在加固后的 VPS 上安装 Docker Engine - [ ] 理解 Docker 网络与隔离机制 - [ ] 加固 Docker 守护进程 - [ ] 按照安全最佳实践运行容器(非 root 用户、只读文件系统、资源限制) - [ ] 使用 Trivy 扫描容器镜像 - [ ] 记录发现的问题及修复措施 ## 📊 阶段 3 — Wazuh SIEM 部署 **状态:** ⏳ 即将开始 **目标:** 部署企业级 SIEM 并响应真实攻击 ### 任务清单 - [ ] 在 VPS 上部署 Wazuh manager + dashboard - [ ] 在端点上配置 Wazuh agents - [ ] 转发日志(SSH、fail2ban、系统事件) - [ ] 创建自定义检测规则 - [ ] 将检测映射到 MITRE ATT&CK 框架 - [ ] 模拟暴力破解攻击 → 检测与调查 - [ ] 记录事件响应流程 ## 📸 截图 *随着每个阶段的完成,将更新截图和仪表板展示。* ## 📚 学习资源 - [TryHackMe — 安全工程师路径](https://tryhackme.com) - [CIS Ubuntu 基准](https://www.cisecurity.org/benchmark/ubuntu_linux) - [Wazuh 文档](https://documentation.wazuh.com) - [OWASP Top 10 (2025)](https://owasp.org) ## 🔗 联系我 - 🐙 **GitHub:** [@derejetadesse](https://github.com/derejetadesse) - 🎯 **TryHackMe:** [你的 TryHackMe 个人主页链接] - 💼 **LinkedIn:** [你的 LinkedIn 个人主页链接] - 📧 **Email:** [你的邮箱地址] ## 👤 作者 **Dereje Deressa** 有志于成为云安全工程师 | IT 理学学士(网络安全方向)
标签:Bash脚本自动化, CIS基准合规, DevSecOps, Docker容器安全, fail2ban入侵防御, Git版本控制, Linux安全硬化, Lynis安全审计, meg, Nessus漏洞评估, Python安全脚本, SOC分析师培训, Sysmon监控, Ubuntu系统, UFW防火墙配置, Wazuh SIEM, 上游代理, 事件响应演练, 信息安全, 安全实验室实践, 安全工程技能, 安全运营, 应用安全, 扫描框架, 服务器监控, 监控与警报, 网络安全, 网络安全作品集, 网络安全研究, 请求拦截, 逆向工具, 隐私保护