ines-saouli/linux-incident-response-lab
GitHub: ines-saouli/linux-incident-response-lab
模拟 Linux 服务器遭受攻击后的完整事件响应与系统加固实验室,涵盖数字取证、入侵检测和服务器安全强化。
Stars: 0 | Forks: 0
# 🚨 Linux 事件响应实验室
# 📖 概述
本项目模拟了服务器在遭受攻击后被攻陷的情景。
目标是应用一套完整的**事件响应**流程:识别可疑元素、控制攻击、保全证据,然后加强服务器的安全性,以降低未来被攻陷的风险。
通过这个实验室,我学习了数字取证调查的初步步骤以及 Linux 系统强化的最佳实践。
# 🎯 目标
- 识别入侵指标 (IOC)
- 控制正在进行的攻击
- 保护数字证据
- 强化 Linux 服务器的安全性
- 保护 SSH 访问安全
- 实施安全策略
- 部署审计机制
- 集中管理系统日志
- 检测可疑行为
- 进行事后分析
# 🚨 紧急事件响应
初步行动包括:
- 识别已登录用户;
- 查找恶意进程;
- 分析活动的网络连接;
- 封禁可疑 IP 地址;
- 终止恶意进程;
- 在删除任何内容前备份证据;
- 移除持久化机制。
### 使用的命令
```
w
last
ps aux
ss -tulnp
kill -9
iptables
pkill
sha256sum
```
# 🔐 SSH 强化
为了降低被攻陷的风险,我们对 SSH 服务进行了安全加固。
实施的措施:
- 禁用 root 登录;
- SSH 密钥认证;
- 更改 SSH 端口;
- 限制登录尝试次数;
- 限制授权用户;
- 配置 Fail2Ban;
- 法律警告标语。
### 技术
- OpenSSH
- Fail2Ban
# 👤 账户管理
对系统上的现有账户进行审计,以识别:
- 可疑账户;
- 拥有 shell 的账户;
- 具有高权限的账户;
- 未使用的账户。
执行的操作:
- 删除可疑账户;
- 锁定账户;
- 强化 sudo 权限。
# 🔑 密码策略
使用 PAM 配置增强的安全策略。
实施内容:
- 最小长度限制;
- 密码复杂度要求;
- 密码过期设置;
- 密码历史记录;
- 多次失败尝试后锁定。
技术:
- PAM
- pam_pwquality
- pam_faillock
# 🔥 防火墙
配置防火墙以应用**最小权限**原则。
实施的规则:
- 默认拒绝;
- 允许基本服务;
- 限制 SSH 连接;
- 记录被拒绝的数据包。
技术:
- iptables
- nftables
# 📂 文件系统安全
对关键文件的安全性进行强化:
- 系统权限;
- 审计 SUID / SGID 文件;
- 查找危险文件;
- 保护挂载点。
# ⚙️ Linux 内核强化
通过 **sysctl** 配置安全参数。
示例:
- 禁用 IP 路由;
- 防欺骗保护;
- 启用 SYN Cookies;
- ASLR;
- 内存限制。
# 📋 系统审计
部署审计系统以监控:
- 敏感文件;
- 权限更改;
- 关键命令;
- 系统修改。
使用的技术:
- auditd
# 📝 日志集中化
配置高级日志记录以方便未来的调查。
实施内容:
- 日志分离;
- 日志保留;
- 日志轮转;
- 防删除保护。
技术:
- rsyslog
- journald
- logrotate
# 🛡️ 入侵检测
部署多种检测工具。
研究的技术:
- Fail2Ban
- AIDE
- rkhunter
目标:
- 检测系统修改;
- 发现可疑行为;
- 限制暴力破解攻击。
# 🔎 取证分析
进行事后分析以:
- 识别攻击者留下的痕迹;
- 分析系统日志;
- 查找可疑连接;
- 关联事件;
- 准备调查报告。
# 🛠️ 使用的技术
## 操作系统
- Linux
## 安全
- OpenSSH
- Fail2Ban
- auditd
- AIDE
- rkhunter
## 网络
- iptables
- nftables
## 日志记录
- rsyslog
- journald
- logrotate
## 分析
- SHA256
- Linux Logs
- 网络分析
# 📚 我学到了什么
通过这个实验室,我学会了:
- 应用事件响应方法论;
- 识别多种入侵指标;
- 强化 Linux 服务器的安全性;
- 配置强大的安全策略;
- 建立审计系统;
- 保护和分析系统日志;
- 理解数字取证的基础。
# 🚀 培养的技能
- Incident Response
- Linux Hardening
- OpenSSH
- Fail2Ban
- PAM
- auditd
- rsyslog
- nftables
- iptables
- 日志分析
- 调查
- Forensics
- Linux 账户管理
- 基础设施安全强化
# 💡 未来可能的扩展
该基础设施可以通过引入以下内容进行丰富:
- Wazuh SIEM
- Splunk
- Elastic Stack
- Suricata
- Snort
- Sysmon for Linux
- TheHive
- Cortex
- Velociraptor
# 📖 备注
本仓库展示了实验室的主要步骤以及所获得的技能。为了尊重培训的教学材料,某些配置已被刻意简化。
标签:安全实验, 库, 应急响应, 数字取证, 服务器加固, 自动化脚本