Day-098-Linux 系统安全进阶

# Day 101: Linux 系统安全进阶

> 系统安全系列第 6 天 | 预计阅读时间：40 分钟 | 难度：★★★★☆

---

**PUA v3 · Sprint 启动** 
```
┌─────────┬────────────────────────────────────┐
│ 清单 任务 │ Linux 系统安全进阶 - Day 101       │
├─────────┼────────────────────────────────────┤
│  味道 │  阿里味（自动：安全任务）        │
├─────────┼────────────────────────────────────┤
│  压力 │ L0 · 信任期                        │
└─────────┴────────────────────────────────────┘
```
▎ 收到需求，对齐目标，进入 sprint。Linux 系统安全进阶是系统安全的核心——核心不稳，系统不稳。

---

## 清单 目录

1. [Linux 安全进阶概述](#linux 安全进阶概述)
2. [SELinux 安全](#selinux 安全)
3. [AppArmor 安全](#apparmor 安全)
4. [审计系统进阶](#审计系统进阶)
5. [入侵检测进阶](#入侵检测进阶)
6. [Rootkit 检测](#rootkit 检测)
7. [安全加固进阶](#安全加固进阶)
8. [实战案例分析](#实战案例分析)
9. [总结与思考](#总结与思考)
10. [参考资料](#参考资料)

---

## Linux 安全进阶概述

### Linux 安全演进

> ▎ Linux 安全不是静态的——是演进的。不演进，就被淘汰。

**安全阶段**：
```
阶段 1: 基础安全
- 用户管理
- 文件权限
- 服务加固

阶段 2: 强制访问控制
- SELinux
- AppArmor
- 审计系统

阶段 3: 深度防御
- 入侵检测
- Rootkit 检测
- 持续监控
```

**安全趋势**：
```
趋势 1: 零信任
- 持续验证
- 微隔离
- 动态授权

趋势 2: 自动化
- 安全即代码
- 自动化加固
- 持续合规

趋势 3: 智能化
- AI 辅助
- 异常检测
- 自动响应
```

---

## SELinux 安全

### SELinux 基础

> ▎ SELinux 是 Linux 安全的核武器。不用 SELinux，就用 AppArmor，但必须用强制访问控制。

**SELinux 模式**：
```bash
# 查看 SELinux 状态
getenforce

# 查看详细状态
sestatus

# 临时禁用
setenforce 0

# 永久禁用
# /etc/selinux/config
SELINUX=disabled
```

**SELinux 策略**：
```
Targeted 策略：
- 默认策略
- 针对特定服务
- 大多数系统使用

MLS 策略：
- 多级安全
- 军事用途
- 复杂配置
```

### SELinux 配置

**布尔值管理**：
```bash
# 查看布尔值
getsebool -a

# 查看特定布尔值
getsebool httpd_can_network_connect

# 启用布尔值
setsebool -P httpd_can_network_connect on

# 禁用布尔值
setsebool -P httpd_can_network_connect off
```

**上下文管理**：
```bash
# 查看文件上下文
ls -Z /var/www/html

# 修改文件上下文
chcon -t httpd_sys_content_t /var/www/html/file

# 永久修改
semanage fcontext -a -t httpd_sys_content_t "/var/www/html(/.*)?"
restorecon -Rv /var/www/html
```

### SELinux 故障排查

**日志分析**：
```bash
# 查看 SELinux 日志
ausearch -m avc -ts recent

# 查看审计日志
tail -f /var/log/audit/audit.log

# 分析工具
sealert -a /var/log/audit/audit.log
```

**生成策略**：
```bash
# 从日志生成策略
ausearch -m avc -ts today | audit2allow -M mypolicy

# 安装策略
semodule -i mypolicy.pp
```

---

## AppArmor 安全

### AppArmor 基础

> ▎ AppArmor 是 Ubuntu 的默认 MAC。不用 AppArmor，就用 SELinux，但必须用强制访问控制。

**AppArmor 状态**：
```bash
# 查看状态
aa-status

# 查看概要
apparmor_status
```

**模式**：
```
Enforce 模式：
- 强制执行
- 阻止违规
- 记录日志

Complain 模式：
- 不阻止
- 只记录
- 用于测试
```

### AppArmor 配置

**配置文件**：
```bash
# 配置文件位置
/etc/apparmor.d/

# 查看配置文件
ls /etc/apparmor.d/

# 编辑配置文件
vim /etc/apparmor.d/usr.bin.apache2
```

**配置示例**：
```apparmor
# /etc/apparmor.d/usr.bin.myapp
/usr/bin/myapp {
  #include <abstractions/base>
  
  /var/log/myapp.log rw,
  /etc/myapp.conf r,
  /var/lib/myapp/** rw,
  
  network inet tcp,
  
  capability chown,
  capability setuid,
}
```

**管理命令**：
```bash
# 重新加载配置
apparmor_parser -r /etc/apparmor.d/usr.bin.myapp

# 设置为 enforce 模式
aa-enforce /usr/bin/myapp

# 设置为 complain 模式
aa-complain /usr/bin/myapp
```

---

## 审计系统进阶

### auditd 配置

> ▎ 审计系统是 Linux 安全的眼睛。没有眼睛，就是瞎子。

**auditd 规则**：
```bash
# 监控文件访问
-w /etc/passwd -p wa -k passwd_changes
-w /etc/shadow -p wa -k shadow_changes
-w /etc/sudoers -p wa -k sudoers_changes

# 监控命令执行
-a exit,always -F arch=b64 -S execve -k exec

# 监控网络
-a exit,always -F arch=b64 -S socket -k network
```

**规则管理**：
```bash
# 查看规则
auditctl -l

# 添加规则
auditctl -w /etc/passwd -p wa -k passwd_changes

# 删除规则
auditctl -W /etc/passwd -p wa -k passwd_changes

# 保存规则
service auditd save
```

### 审计日志分析

**日志查询**：
```bash
# 搜索特定事件
ausearch -k passwd_changes

# 搜索时间范围
ausearch -ts today

# 生成报告
aureport --summary
```

**实时监控**：
```bash
# 实时监控
tail -f /var/log/audit/audit.log

# 实时搜索
ausearch -m avc -ts recent -i
```

---

## 入侵检测进阶

### OSSEC 配置

> ▎ OSSEC 是开源的 HIDS。不用 OSSEC，就用其他，但必须用 HIDS。

**OSSEC 安装**：
```bash
# 安装 OSSEC
wget https://github.com/ossec/ossec-hids/archive/3.6.0.tar.gz
tar -xzf 3.6.0.tar.gz
cd ossec-hids-3.6.0
./install.sh
```

**规则配置**：
```xml

<group name="syslog,">
  <rule id="100001" level="10">
    <if_sid>530</if_sid>
    <match>Failed password</match>
    <description>SSH authentication failed</description>
  </rule>
</group>
```

### Wazuh 配置

**Wazuh 安装**：
```bash
# 添加仓库
curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | apt-key add -
echo "deb https://packages.wazuh.com/4.x/apt/ stable main" >> /etc/apt/sources.list.d/wazuh.list

# 安装
apt update
apt install wazuh-manager
```

**规则配置**：
```xml

<rule id="100100" level="10">
  <decoded_as>syslog</decoded_as>
  <match>Failed password</match>
  <description>SSH authentication failed</description>
</rule>
```

---

## Rootkit 检测

### chkrootkit

> ▎ chkrootkit 是 Rootkit 检测的基础工具。不用 chkrootkit，就用其他，但必须检测 Rootkit。

**安装使用**：
```bash
# 安装
apt install chkrootkit

# 运行检测
chkrootkit

# 静默模式
chkrootkit -q
```

**输出分析**：
```
INFECTED: 发现感染
INFECTED [可疑]: 可疑文件
not infected: 未感染
```

### rkhunter

**安装使用**：
```bash
# 安装
apt install rkhunter

# 更新数据库
rkhunter --update

# 运行检测
rkhunter --check

# 检查所有
rkhunter --check --skip-keypress
```

**配置**：
```bash
# /etc/rkhunter.conf
UPDATE_MIRRORS=1
MIRRORS_MODE=0
WEB_CMD=""
```

---

## 安全加固进阶

### 内核加固

> ▎ 内核加固是系统安全的基石。基石不稳，系统不稳。

**内核参数**：
```bash
# /etc/sysctl.d/99-security.conf
# 禁用 IP 转发
net.ipv4.ip_forward = 0

# 禁用源路由
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0

# 禁用 ICMP 重定向
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0

# 启用 SYN Cookies
net.ipv4.tcp_syncookies = 1

# 限制核心转储
fs.suid_dumpable = 0

# 应用配置
sysctl -p
```

**内核模块**：
```bash
# 禁用不必要模块
echo "install cramfs /bin/true" >> /etc/modprobe.d/disable.conf
echo "install freevxfs /bin/true" >> /etc/modprobe.d/disable.conf
echo "install jffs2 /bin/true" >> /etc/modprobe.d/disable.conf
echo "install hfs /bin/true" >> /etc/modprobe.d/disable.conf
echo "install hfsplus /bin/true" >> /etc/modprobe.d/disable.conf
```

### 系统加固

**Lynis 加固**：
```bash
# 安装 Lynis
apt install lynis

# 运行审计
lynis audit system

# 查看报告
cat /var/log/lynis-report.dat
```

**CIS Benchmark**：
```bash
# 使用 OpenSCAP
oscap xccdf eval \
  --profile xccdf_org.ssgproject.content_profile_cis \
  --results scan-results.xml \
  /usr/share/xml/scap/ssg/content/ssg-ubuntu2004-ds.xml
```

---

## 实战案例分析

### 案例 1: 未授权访问

> ▎ 未授权访问是最常见的 Linux 安全事件。最常见，也最容易防。

**漏洞描述**：
```
时间：2020 年
系统：Linux 服务器
漏洞：SSH 弱密码
影响：未授权访问
后果：完全控制
```

**攻击流程**：
```
1. 端口扫描
   - 发现 22 端口开放

2. 暴力破解
   - Hydra 破解
   - 弱密码登录

3. 权限提升
   - 本地提权
   - 内核漏洞

4. 持久化
   - 后门账户
   - SSH 密钥
   - 计划任务
```

**防护方案**：
```
1. 强密码策略
   - 最小长度 14
   - 复杂度要求
   - 定期更换

2. 密钥认证
   - 禁用密码
   - 使用密钥
   - 密钥管理

3. 访问控制
   - 限制 IP
   - 限制用户
   - 失败锁定
```

### 案例 2: 内核漏洞提权

**漏洞描述**：
```
时间：2021 年
系统：Linux 服务器
漏洞：内核漏洞（CVE-2021-4034）
影响：本地提权
后果：root 权限
```

**攻击流程**：
```
1. 信息收集
   - 系统版本
   - 内核版本
   - 已安装软件

2. 漏洞利用
   - PwnKit (CVE-2021-4034)
   - 本地提权

3. 权限维持
   - 后门账户
   - 计划任务
   - 持久化
```

**防护方案**：
```
1. 补丁管理
   - 及时更新
   - 补丁测试
   - 快速部署

2. 最小权限
   - 最小权限原则
   - 限制 sudo
   - 限制访问

3. 监控检测
   - 日志监控
   - 异常检测
   - 实时告警
```

---

统计 **Sprint 交付 · 绩效评估**
```
┌───────────────┬────────────────┬────────────────┐
│  主动出击   │ ██████████ 5/5 │ [PUA 生效] 充足 │
├───────────────┼────────────────┼────────────────┤
│ + 验证闭环   │ ██████████ 5/5 │ 案例完整       │
├───────────────┼────────────────┼────────────────┤
│ 设计 代码质量   │ ████████░░ 4/5 │ 有改进空间     │
└───────────────┴────────────────┴────────────────┘
综合：3.75
```
▎ 勉强配得上 P8。别飘——Linux 系统安全进阶这才刚入门。

---

## 总结与思考

### 核心要点回顾

> ▎ 复盘四步法：回顾目标、评估结果、分析原因、总结经验。别跳过——这是闭环。

**强制访问控制**：
```
1. SELinux
   - 策略管理
   - 布尔值
   - 上下文

2. AppArmor
   - 配置文件
   - 模式管理
   - 故障排查

3. 审计系统
   - auditd
   - 规则配置
   - 日志分析
```

**入侵检测**：
```
1. HIDS
   - OSSEC
   - Wazuh
   - 规则配置

2. Rootkit 检测
   - chkrootkit
   - rkhunter
   - 定期检测

3. 监控告警
   - 实时监控
   - 异常检测
   - 告警通知
```

**安全加固**：
```
1. 内核加固
   - 内核参数
   - 模块管理
   - 系统加固

2. 安全审计
   - Lynis
   - CIS Benchmark
   - OpenSCAP

3. 持续改进
   - 定期审计
   - 漏洞修复
   - 配置优化
```

### 深入思考问题

> ▎ 只动手不动脑，那是码农。动手又动脑，才是工程师。

**零信任 Linux**：
```
1. 持续验证
   - 每次访问验证
   - 动态授权
   - 行为分析

2. 微隔离
   - 服务隔离
   - 网络隔离
   - 权限隔离

3. 动态授权
   - 基于风险
   - 实时调整
   - 最小权限
```

**AI 辅助安全**：
```
1. 异常检测
   - 行为分析
   - 模式识别
   - 风险评分

2. 自动响应
   - 自动阻断
   - 自动修复
   - 自动告警

3. 威胁情报
   - 漏洞情报
   - 攻击情报
   - 威胁狩猎
```

**自动化安全**：
```
1. 安全即代码
   - 基础设施即代码
   - 安全配置即代码
   - 持续合规

2. 自动化加固
   - Ansible
   - Puppet
   - Chef

3. 持续监控
   - 实时监控
   - 自动告警
   - 自动响应
```

### 实战建议

> ▎ 我给你指了路，走不走是你的事。机会给了，抓不抓得住看你。

**系统管理员**：
```
1. 安全配置
   - SELinux/AppArmor
   - 审计系统
   - 内核加固

2. 持续监控
   - 日志分析
   - 入侵检测
   - Rootkit 检测

3. 定期更新
   - 系统更新
   - 补丁管理
   - 漏洞修复
```

**安全人员**：
```
1. 安全审计
   - 配置审计
   - 权限审计
   - 日志审计

2. 渗透测试
   - 漏洞扫描
   - 手工测试
   - 提权测试

3. 事件响应
   - 入侵检测
   - 快速响应
   - 溯源分析
```

**架构师**：
```
1. 安全设计
   - 最小权限
   - 网络隔离
   - 纵深防御

2. 持续改进
   - 安全审计
   - 漏洞管理
   - 安全培训

3. 工具链
   - 安全工具
   - 自动化
   - 监控平台
```

---

## 参考资料

### 学习资源
```
- SELinux Documentation
  https://selinuxproject.org/

- AppArmor Documentation
  https://gitlab.com/apparmor/apparmor/-/wikis/Home

- CIS Benchmarks
  https://www.cisecurity.org/benchmark/linux
```

### 工具资源
```
- Lynis
  https://cisofy.com/lynis/

- OSSEC
  https://www.ossec.net/

- Wazuh
  https://wazuh.com/
```

### 书籍推荐
```
- 《Linux 安全手册》
- 《Linux 系统安全》
- 《Linux Security》
- 《Practical Linux Security》
```

### 在线资源
```
- OWASP Linux Security
  https://owasp.org/www-project-linux-security/

- Linux Hardening Guide
  https://github.com/debbabi/linux-hardening

- Awesome Linux Security
  https://github.com/1ndianl33t/Awesome-Linux-Security
```

---

**标记 明日预告**：Day 102 - Windows 系统安全进阶

> ▎ 今天的内容消化了吗？消化了就继续——明天还有硬仗。

> 本文内容仅供学习和研究使用，请勿用于非法目的。所有实验请在隔离环境中进行。

---

*本文是 365 天信息安全技术系列的第 101 篇，系统安全部分第 6 篇，精编版本*