ines-saouli/linux-incident-response-lab

GitHub: ines-saouli/linux-incident-response-lab

模拟 Linux 服务器遭受攻击后的完整事件响应与系统加固实验室,涵盖数字取证、入侵检测和服务器安全强化。

Stars: 0 | Forks: 0

# 🚨 Linux 事件响应实验室 # 📖 概述 本项目模拟了服务器在遭受攻击后被攻陷的情景。 目标是应用一套完整的**事件响应**流程:识别可疑元素、控制攻击、保全证据,然后加强服务器的安全性,以降低未来被攻陷的风险。 通过这个实验室,我学习了数字取证调查的初步步骤以及 Linux 系统强化的最佳实践。 # 🎯 目标 - 识别入侵指标 (IOC) - 控制正在进行的攻击 - 保护数字证据 - 强化 Linux 服务器的安全性 - 保护 SSH 访问安全 - 实施安全策略 - 部署审计机制 - 集中管理系统日志 - 检测可疑行为 - 进行事后分析 # 🚨 紧急事件响应 初步行动包括: - 识别已登录用户; - 查找恶意进程; - 分析活动的网络连接; - 封禁可疑 IP 地址; - 终止恶意进程; - 在删除任何内容前备份证据; - 移除持久化机制。 ### 使用的命令 ``` w last ps aux ss -tulnp kill -9 iptables pkill sha256sum ``` # 🔐 SSH 强化 为了降低被攻陷的风险,我们对 SSH 服务进行了安全加固。 实施的措施: - 禁用 root 登录; - SSH 密钥认证; - 更改 SSH 端口; - 限制登录尝试次数; - 限制授权用户; - 配置 Fail2Ban; - 法律警告标语。 ### 技术 - OpenSSH - Fail2Ban # 👤 账户管理 对系统上的现有账户进行审计,以识别: - 可疑账户; - 拥有 shell 的账户; - 具有高权限的账户; - 未使用的账户。 执行的操作: - 删除可疑账户; - 锁定账户; - 强化 sudo 权限。 # 🔑 密码策略 使用 PAM 配置增强的安全策略。 实施内容: - 最小长度限制; - 密码复杂度要求; - 密码过期设置; - 密码历史记录; - 多次失败尝试后锁定。 技术: - PAM - pam_pwquality - pam_faillock # 🔥 防火墙 配置防火墙以应用**最小权限**原则。 实施的规则: - 默认拒绝; - 允许基本服务; - 限制 SSH 连接; - 记录被拒绝的数据包。 技术: - iptables - nftables # 📂 文件系统安全 对关键文件的安全性进行强化: - 系统权限; - 审计 SUID / SGID 文件; - 查找危险文件; - 保护挂载点。 # ⚙️ Linux 内核强化 通过 **sysctl** 配置安全参数。 示例: - 禁用 IP 路由; - 防欺骗保护; - 启用 SYN Cookies; - ASLR; - 内存限制。 # 📋 系统审计 部署审计系统以监控: - 敏感文件; - 权限更改; - 关键命令; - 系统修改。 使用的技术: - auditd # 📝 日志集中化 配置高级日志记录以方便未来的调查。 实施内容: - 日志分离; - 日志保留; - 日志轮转; - 防删除保护。 技术: - rsyslog - journald - logrotate # 🛡️ 入侵检测 部署多种检测工具。 研究的技术: - Fail2Ban - AIDE - rkhunter 目标: - 检测系统修改; - 发现可疑行为; - 限制暴力破解攻击。 # 🔎 取证分析 进行事后分析以: - 识别攻击者留下的痕迹; - 分析系统日志; - 查找可疑连接; - 关联事件; - 准备调查报告。 # 🛠️ 使用的技术 ## 操作系统 - Linux ## 安全 - OpenSSH - Fail2Ban - auditd - AIDE - rkhunter ## 网络 - iptables - nftables ## 日志记录 - rsyslog - journald - logrotate ## 分析 - SHA256 - Linux Logs - 网络分析 # 📚 我学到了什么 通过这个实验室,我学会了: - 应用事件响应方法论; - 识别多种入侵指标; - 强化 Linux 服务器的安全性; - 配置强大的安全策略; - 建立审计系统; - 保护和分析系统日志; - 理解数字取证的基础。 # 🚀 培养的技能 - Incident Response - Linux Hardening - OpenSSH - Fail2Ban - PAM - auditd - rsyslog - nftables - iptables - 日志分析 - 调查 - Forensics - Linux 账户管理 - 基础设施安全强化 # 💡 未来可能的扩展 该基础设施可以通过引入以下内容进行丰富: - Wazuh SIEM - Splunk - Elastic Stack - Suricata - Snort - Sysmon for Linux - TheHive - Cortex - Velociraptor # 📖 备注 本仓库展示了实验室的主要步骤以及所获得的技能。为了尊重培训的教学材料,某些配置已被刻意简化。
标签:安全实验, 库, 应急响应, 数字取证, 服务器加固, 自动化脚本