我們?cè)谧鲋鳈C(jī)安全檢查或安全事件處置時(shí)，避免不了要去檢查系統(tǒng)的安全情況。在進(jìn)行 Linux 安全檢查時(shí)，需要使用相關(guān)的腳本對(duì)系統(tǒng)的安全情況進(jìn)行全面分析，一方面需要盡可能的收集系統(tǒng)的相關(guān)信息，另一方面在數(shù)量較多的時(shí)候盡可能的提高效率。由于在多次的安全檢查中遇到檢查時(shí)都是幾十臺(tái)服務(wù)器要做一個(gè)全面檢查的情況，如果人工手寫腳本的話，一方面效率較低另一方面需要安全檢查者熟悉所需要檢查的項(xiàng)。在這種情況下，本人寫了一個(gè) Linux 安全檢查的腳本，該腳本主要在以下場(chǎng)景使用：

• Linux 主機(jī)安全檢查時(shí)
• Linux 主機(jī)發(fā)生安全事件需要全面分析時(shí)

該腳本完成有一段時(shí)間，最近在應(yīng)急響應(yīng)群里討論，發(fā)現(xiàn)這塊的安全檢查是大家的一個(gè)強(qiáng)需求，因此把該檢查腳本共享給大家，共享的目的主要以兩個(gè):一是提高大家在 Linux 安全檢查時(shí)的效率，釋放大家的精力;另一方面希望大家在使用的過(guò)程中可以不斷地發(fā)現(xiàn)問(wèn)題，不斷的總結(jié)缺少的安全檢查項(xiàng)，協(xié)助完善該檢查腳本。所以大家在使用過(guò)程中有任何問(wèn)題或建議歡迎及時(shí)同步給我。

檢查內(nèi)容

1. 整體框架

關(guān)于 Linux 安全檢查,這里面我總結(jié)主要需要檢查以下內(nèi)容：

• 系統(tǒng)安全檢查(進(jìn)程、開放端口、連接、日志等)：這一塊是目前個(gè)人該腳本所實(shí)現(xiàn)的功能
• Rootkit：建議使用 rootkit 專殺工具來(lái)檢查,如 rkhunter
• Webshell：這一塊查殺技術(shù)難度相對(duì)較高，不是本腳本所需要實(shí)現(xiàn)的功能,針對(duì)這一塊的檢查可以使用 D 盾來(lái)檢查 (Linux 下可以將 web 目錄掛載到 Windows 下進(jìn)行檢查)
• Web 日志：
• 流量：這一塊主要側(cè)重主機(jī)的長(zhǎng)期的流量分析,目前個(gè)人使用 tshark 實(shí)現(xiàn)了基礎(chǔ)的流量分析，后期會(huì)進(jìn)行相應(yīng)的完善。流量這一塊可以提取流量五元組、DNS 流量、HTTP 流量再結(jié)合威脅情報(bào)的數(shù)據(jù)進(jìn)行深度分析。這個(gè)后期個(gè)人會(huì)進(jìn)行相關(guān)的嘗試，可能的話會(huì)進(jìn)行相應(yīng)內(nèi)容的分享。

2. 系統(tǒng)安全檢查框架

3. 功能實(shí)現(xiàn)

功能設(shè)計(jì)：

• V1.0 主要功能用來(lái)采集信息
• V1.1 主要功能將原始數(shù)據(jù)進(jìn)行分析,并找出存在可疑或危險(xiǎn)項(xiàng)
• V1.2 增加基線檢查的功能
• V1.3 可以進(jìn)行相關(guān)危險(xiǎn)項(xiàng)或可疑項(xiàng)的自動(dòng)處理

目前到 V1.2 版本，后期完善 V1.3 相關(guān)的功能。

另外，操作上可以實(shí)現(xiàn)一鍵進(jìn)行安全檢查，并將檢查后的結(jié)果保存到本機(jī)。只需要在hosts文本中輸入相應(yīng)的IP、賬號(hào)、密碼。操作上人工參與最小化。

4. 各腳本功能說(shuō)明

下載后相關(guān)整個(gè)腳本的目錄結(jié)構(gòu)如下所示：

• checkrulues：部分判斷邏輯,這里面目前僅有端口的判斷邏輯,后期可以將進(jìn)程、應(yīng)用程序是否有漏洞等邏輯放在這里面進(jìn)行安全檢查,比較簡(jiǎn)單的判斷邏輯直接在 buying_linuxcheck.sh 中可以實(shí)現(xiàn)
• buying_linuxcheck.sh：核心檢查邏輯
• del.exp：刪除遠(yuǎn)程服務(wù)器上的腳本與檢查結(jié)果
• get.exp：獲取遠(yuǎn)程服務(wù)器上安全檢查的結(jié)果
• hosts.txt：需要被檢查的服務(wù)器列表
• login.sh：一鍵進(jìn)行登錄檢查,安全檢查時(shí)只需要運(yùn)行該腳本即可
• put.exp：將安全檢查腳本上傳到遠(yuǎn)程服務(wù)器上
• readme.txt：使用相關(guān)說(shuō)明文檔
• sh.exp：在遠(yuǎn)程服務(wù)器上執(zhí)行安全檢查腳本

下面針對(duì)其中部分腳本進(jìn)行介紹

(1) Checkrules

判斷邏輯主要放在兩個(gè)文件中:一個(gè)是 checkrules 中,格式為 dat,這里面建議將比較復(fù)雜的判斷邏輯放在這里，如下面的 TCP 危險(xiǎn)端口這塊,因?yàn)楸容^多，如果放在 buying_linuxcheck.sh 中則代碼有些冗長(zhǎng)，下面是 TCP 高危端口的判斷邏輯，主要還是根據(jù)木馬默認(rèn)使用的端口號(hào)，這里面判斷的邏輯相對(duì)簡(jiǎn)單，可能會(huì)存在誤報(bào)的情況，所以后續(xù)需要人工介入分析。

(2) buying_linuxcheck.sh

核心的功能收集與判斷邏輯,比較簡(jiǎn)單的判斷邏輯可以放在這里面進(jìn)行判斷。

5. 使用

使用比較簡(jiǎn)單,將本腳本拷貝到自己一臺(tái) Linux 主機(jī)上，可以使用虛擬機(jī)，將需要被檢查的服務(wù)器的 IP、賬號(hào)、密碼放到 hosts.txt 目錄中，直接運(yùn)行即可實(shí)現(xiàn)一鍵安全檢查。

相關(guān)操作如下:

(1) 將需要被檢查的服務(wù)器 IP、賬號(hào)、密碼寫入到 hosts.txt 文件中,格式為

IP:port:user:userpassword:rootpassword 

其中 user 為普通用戶的賬號(hào),port 為 ssh 登錄端口, uesrpassword 為普通賬號(hào)的密碼, rootpassword 為 root 的密碼, 只所以加個(gè)普通用戶是因?yàn)橛械南到y(tǒng)做了安全策略,不允許 root 直接登錄，如果被檢查的服務(wù)器允許 root 直接登錄，可以直接把 user 和 userpassword 寫成 root 以及 root 密碼

這里面被檢查的服務(wù)器允許 root 直接登錄，因此直接寫 root 賬號(hào)和密碼

(2) 運(yùn)行安全檢查腳本,

sh login.sh 

安全檢查腳本就在后臺(tái)運(yùn)行了，稍等…….

(3) 看到刪除遠(yuǎn)程服務(wù)器上的檢查腳本與檢查結(jié)果，就說(shuō)明檢查結(jié)束了

(4) 檢查結(jié)束后，會(huì)將遠(yuǎn)程服務(wù)器上的結(jié)果保存到本地主機(jī)上

6. 檢查結(jié)果說(shuō)明

檢查結(jié)束后,將相應(yīng)的結(jié)果解壓后目錄結(jié)構(gòu)如下所示:

(1) Check_file

保存的是檢查的最終結(jié)果,長(zhǎng)這個(gè)樣子……

(2) Log

目錄中保存的是 Linux 系統(tǒng)日志，web 日志這塊目前腳本沒(méi)有實(shí)現(xiàn)自動(dòng)打包的功能，原因就是 web 日志經(jīng)常太大，并且保存的日志可能從運(yùn)行到現(xiàn)在的所有日志，很多日志并不需要進(jìn)行檢查與分析，因此在檢查時(shí)相關(guān)人員可以根據(jù)具體情況進(jìn)行打包相應(yīng)的日志

(3) danger_file.txt

保存的是在安全檢查過(guò)程中發(fā)現(xiàn)的問(wèn)題

(4) sysfile_md5.txt

保存的是系統(tǒng)關(guān)鍵文件或系統(tǒng)文件的 MD5 值，之所以將這些關(guān)鍵文件的 MD5 記錄下來(lái)主要有兩個(gè)功能:一是周期性的檢查時(shí)，可以與之前的結(jié)果進(jìn)行對(duì)比，若有變動(dòng)會(huì)提示;另一個(gè)是可以將這些關(guān)鍵文件的 MD5 值跑一下威脅情報(bào)庫(kù)或 virustotal 以發(fā)現(xiàn)可能存在的系統(tǒng)文件被替換的情況。

7. 代碼下載

相關(guān)代碼已上傳到 github,有需要可自行下載,有問(wèn)題也可以直接聯(lián)系：

https://github.com/T0xst/linux