plokareddy/Linux-Security-Hardening-Lab

# Linux 安全加固实验室 ## 项目概述 Linux 安全加固实验室是一个在 macOS 上运行的 Ubuntu 虚拟机上进行的实战安全评估和加固项目。该项目涵盖了网络发现、流量分析、安全审计、漏洞评估、防火墙加固、恶意软件检测和最终安全验证。目标是评估系统的安全状况，识别漏洞，实施安全控制，并验证安全改进。 ## 使用工具 - Ubuntu Linux - Wireshark - Nmap - Lynis - UFW - Rkhunter ## 项目阶段 1. 环境设置与网络发现 2. 流量分析 3. 使用 Lynis 工具进行安全审计 4. 漏洞评估 5. 认证日志审查 6. 防火墙加固 7. 文件权限审查 8. 服务加固 9. 恶意软件和 rootkit 检测 10. 系统更新和打补丁 11. 最终安全审计/验证 ## 第 1 阶段：环境设置与网络发现 ### 目标 本阶段的目标是在开始安全评估之前了解 Ubuntu 虚拟机的网络配置。 ### 使用命令 ip a ### 发现 包含分配的 IPv4 和 IPv6 地址的网络和环回接口。 ### 安全相关性 识别网络接口很重要，因为它帮助安全分析师了解系统如何在网络上进行通信，并为进一步的流量分析提供基础。 ## 第 2 阶段：流量分析 ### 目标 本阶段的目标是捕获和分析网络流量，以了解数据如何在系统与外部主机之间传输。 ### 使用命令 ping google.com ### 发现 使用 Wireshark 成功捕获了 ICMP 回显请求和回显回复数据包。数据包详细信息显示了源和目标 IP 地址、数据包序列号和生存时间 (TTL) 值。这证实了 Ubuntu 虚拟机与外部主机之间成功的网络通信。 ### 安全相关性 网络流量分析帮助安全分析师了解正常的网络行为并识别可疑通信。数据包捕获可以在事件调查期间使用，以检测恶意活动、未经授权的连接和不寻常的流量模式。 ## 第 3 阶段：使用 Lynis 工具进行安全审计 ### 目标 本阶段的目标是对 Ubuntu 系统进行安全审计，并识别潜在弱点、配置错误和改进领域。 ### 使用命令 sudo lynis audit system ### 发现 Lynis 审计成功完成，并对系统执行了 240 多项安全测试。初始加固指数评分为 67。审计确定了可以改进安全性的领域，包括缺少入侵检测和恶意软件扫描软件。 ### 安全相关性 Lynis 等安全审计工具可以帮助识别可能增加系统风险的弱点。定期审计提供了对安全状况的可见性，并帮助管理员优先考虑加固工作，以减少攻击面。 ## 第 4 阶段：漏洞评估 ### 目标 本阶段的目标是识别系统上开放端口和暴露的服务，这些端口和服务可能会增加攻击面。 ### 使用命令 nmap localhost ### 发现 对本地系统进行了 Nmap 扫描。结果显示，主机处于活动状态，只有一个 TCP 端口（631/tcp）开放。运行在此端口上的服务被识别为 IPP（互联网打印协议）。其余 999 个扫描端口均关闭。 ### 安全相关性 端口扫描帮助安全分析师识别系统上暴露的服务。了解哪些端口是开放的对于减少攻击面和确保仅向用户和应用程序提供必要的服务很重要。 ## 第 5 阶段：认证日志审查 ### 目标 本阶段的目标是审查认证和系统日志，以了解在 Linux 系统上如何记录管理操作和安全相关活动。 ### 使用命令 cat /var/log/auth.log ### 发现 认证日志记录了在评估期间执行的多项管理操作。日志显示了 sudo 权限提升事件、UFW 防火墙命令、Lynis 安装和审计执行、软件包管理活动和系统进程。这些记录展示了如何记录与安全相关的操作，并可以通过系统审计跟踪进行追踪。 ### 安全相关性 认证日志提供了对用户活动和特权操作的可见性。安全分析师使用这些日志来调查事件、验证管理操作、监控特权访问并在法医调查期间建立时间线。 ## 第 6 阶段：防火墙加固 ### 目标 本阶段的目标是配置和启用 Ubuntu 简单防火墙 (UFW)，以减少系统的攻击面并提高网络安全。 ### 使用命令 - sudo ufw status verbose - sudo ufw enable - sudo ufw default deny incoming - sudo ufw default allow outgoing - sudo ufw status numbered ### 发现 使用 UFW 成功启用了防火墙。默认策略被配置为拒绝所有传入连接，同时允许传出流量。防火墙状态的验证确认了 UFW 已激活并强制执行配置的规则。 ### 安全相关性 防火墙在系统与外部网络之间充当安全屏障。限制传入连接有助于减少攻击面并防止未经授权访问系统上运行的服务。防火墙配置是系统加固中使用的根本安全控制。 ## 第 7 阶段：文件权限和用户访问审查 ### 目标 本阶段的目标是审查文件权限、验证用户权限并检查本地用户账户信息，以更好地了解系统上的访问控制。 ### 使用命令 - ls -l - chmod 600 security-test.txt - whoami - getent group sudo - cat /etc/passwd ### 发现 创建了一个测试文件，并使用 chmod 600 将其权限从默认设置修改为更严格的配置。审查了用户账户信息，以确定当前登录用户并验证 sudo 组成员资格。检查了 /etc/passwd 文件，以审查机器上配置的本地用户账户和系统服务账户。 ### 安全相关性 文件权限和用户权限是 Linux 系统中的基本安全控制。限制对文件的访问有助于保护敏感数据，而审查用户账户和管理权限有助于确保仅向授权用户授予访问权限。定期的权限和账户审查支持最小权限原则并加强系统安全。 ## 第 8 阶段：服务审查和加固 ### 目标 本阶段的目标是识别并审查 Ubuntu 系统上运行的活动服务，以了解哪些服务是暴露的，可能会增加攻击面。 ### 使用命令 systemctl list-units --type=service --state=running ### 发现 使用 systemctl 命令识别了 32 个运行中的服务。核心服务包括 NetworkManager、cron、dbus、gdm、systemd-resolved、rsyslog 以及其他用于正常操作系统功能的系统相关服务。此审查提供了对主机上哪些服务是活动状态和可用的可见性。 ### 安全相关性 审查活动服务有助于安全分析师识别不必要的或可能具有风险的服务，这些服务可能会增加攻击面。了解哪些服务正在运行是系统加固的重要步骤，可以帮助减少对不需要的服务进行禁用，从而降低暴露于漏洞的风险。 ## 第 9 阶段：恶意软件和 rootkit 检测 ### 目标 本阶段的目标是在 Ubuntu 系统上执行恶意软件和 rootkit 检测，以识别潜在的安全威胁、隐藏进程或入侵迹象。 ### 使用命令 - rkhunter --check - chkrootkit ### 发现 使用 Rkhunter 和 Chkrootkit 执行了 rootkit 和恶意软件检测扫描。这些工具审查了系统文件、运行进程、网络接口和常见的 rootkit 签名。Rkhunter 生成有关可能的数据包嗅探活动和潜在的 BPFDoor 恶意软件指示器的警告，而 Chkrootkit 报告了需要进一步调查的多个条目。在评估期间未发现已确认的恶意软件感染或活动 rootkit。 ### 安全相关性 恶意软件和 rootkit 检测是终端安全监控的重要组件。定期扫描有助于识别隐藏威胁、未经授权的修改和通过标准监控技术无法看到的可疑系统活动。这些检查支持早期威胁检测并加强整体系统安全。 ## 第 10 阶段：系统更新和打补丁管理 ### 目标 本阶段的目标是更新已安装的软件包并应用可用的安全补丁，以减少已知漏洞并提高系统的整体安全状况。 ### 使用命令 - sudo apt update - sudo apt upgrade ### 发现 使用 Ubuntu 软件包管理器审查并更新了系统软件包。多个软件包被升级到新版本，确保操作系统包含在评估时可用的最新安全修复和软件改进。 ### 安全相关性 定期打补丁是基本的安全实践。保持系统更新有助于保护免受已知漏洞的侵害，降低被利用的风险，并确保安全控制操作具有最新的修复和改进。 ## 第 11 阶段：最终安全审计和验证 ### 目标 本阶段的目标是在实施安全控制和修复措施后进行最终安全评估，以验证加固过程的有效性。 ### 使用命令 sudo lynis audit system ### 发现 在完成加固活动后，对系统进行了最终的 Lynis 安全审计。审计报告了一个加固指数评分为 68，并确认了防火墙配置、恶意软件扫描、服务审查、权限检查和系统更新等安全控制已完成。结果提供了在修复工作之后系统安全状况的更新视图。 初始 Lynis 加固指数：67 最终 Lynis 加固指数：68 ### 安全相关性 执行最终验证审计有助于验证安全改进已成功实施，并且系统的整体安全状况已得到改善。重新评估是安全加固的重要步骤，因为它提供了修复努力的衡量证据，并确定了任何剩余的改进领域。

标签：AES-256, CTI, GitHub Advanced Security, IPv4, IPv6, Lynis, Maven构建, Nmap, PowerShell, Rkhunter, UFW, Wireshark, 句柄查看, 安全加固, 安全加固实验室, 安全态势评估, 服务加固, 服务器监控, 权限管理, 模型越狱, 漏洞评估, 系统更新, 网络发现, 网络安全, 网络通信, 自定义DNS解析器, 虚拟机安全, 虚拟驱动器, 防火墙配置, 隐私保护