Day-105-Linux 系统安全基础

# Day 91: Linux 系统安全基础

> 系统安全系列第 1 天 | 预计阅读时间：40 分钟 | 难度：★★★★☆

---

**PUA v3 · Sprint 启动** 
```
┌─────────┬────────────────────────────────────┐
│ 清单 任务 │ Linux 系统安全基础 - Day 91        │
├─────────┼────────────────────────────────────┤
│  味道 │  阿里味（自动：安全任务）        │
├─────────┼────────────────────────────────────┤
│  压力 │ L0 · 信任期                        │
└─────────┴────────────────────────────────────┘
```
▎ 收到需求，对齐目标，进入 sprint。Linux 系统安全是系统安全的基础——基础不牢，地动山摇。

---

## 清单 目录

1. [Linux 安全概述](#linux 安全概述)
2. [用户与组管理安全](#用户与组管理安全)
3. [文件权限安全](#文件权限安全)
4. [进程安全](#进程安全)
5. [网络服务安全](#网络服务安全)
6. [日志与审计](#日志与审计)
7. [安全加固实践](#安全加固实践)
8. [实战案例分析](#实战案例分析)
9. [总结与思考](#总结与思考)
10. [参考资料](#参考资料)

---

## Linux 安全概述

### Linux 安全重要性

> ▎ Linux 是服务器的王者。王者不安全，整个帝国都不安全。

**为什么 Linux 安全重要**：
```
1. 服务器主导地位
   - 90%+ 云服务器运行 Linux
   - 关键基础设施依赖 Linux
   - 云计算基础

2. 攻击目标价值高
   - 敏感数据存储
   - 核心业务运行
   - 权限提升跳板

3. 安全影响范围广
   - 单点沦陷 → 内网渗透
   - 权限提升 → 完全控制
   - 持久化 → 长期威胁
```

**Linux 安全威胁**：
```
1. 未授权访问
   - 弱密码
   - SSH 漏洞
   - 服务漏洞

2. 权限提升
   - 内核漏洞
   - SUID 滥用
   - 配置错误

3. 恶意软件
   - Rootkit
   - 后门
   - 挖矿木马

4. 数据泄露
   - 文件泄露
   - 配置泄露
   - 凭证泄露
```

### Linux 安全模型

> ▎ 安全模型不是摆设——是设计原则。不按模型来，就是瞎搞。

**权限模型**：
```
用户权限：
- 读（r）：4
- 写（w）：2
- 执行（x）：1

权限分类：
- 所有者（Owner）
- 组（Group）
- 其他（Others）

特殊权限：
- SUID：执行时拥有所有者权限
- SGID：执行时拥有组权限
- Sticky Bit：只允许所有者删除
```

**安全模块**：
```
SELinux：
- 强制访问控制
- 安全上下文
- 策略执行

AppArmor：
- 应用程序防护
- 配置文件
- 简单易懂

Capabilities：
- 细粒度权限
- 替代 root
- 最小权限
```

---

## 用户与组管理安全

### 用户管理

> ▎ 用户管理是安全的第一道防线。防线破了，后面就难了。

**用户创建安全**：
```bash
# 创建用户
useradd -m -s /bin/bash username

# 设置强密码
passwd username

# 设置密码策略
chage -M 90 -m 7 -W 14 username
```

**密码策略配置**：
```bash
# /etc/login.defs
PASS_MAX_DAYS   90
PASS_MIN_DAYS   7
PASS_WARN_AGE   14
PASS_MIN_LEN    12

# /etc/pam.d/common-password
password requisite pam_pwquality.so retry=3 minlen=12 dcredit=-1 ucredit=-1 ocredit=-1 lcredit=-1
```

**用户锁定**：
```bash
# 锁定用户
usermod -L username

# 解锁用户
usermod -U username

# 删除用户
userdel -r username
```

### 组管理

**组创建安全**：
```bash
# 创建组
groupadd groupname

# 添加用户到组
usermod -aG groupname username

# 查看用户组
groups username
```

**特权组管理**：
```bash
# 查看 sudo 组用户
getent group sudo

# 查看 wheel 组用户
getent group wheel

# 限制 sudo 访问
# /etc/sudoers
%sudo ALL=(ALL:ALL) ALL
```

### SSH 用户认证

**SSH 配置安全**：
```bash
# /etc/ssh/sshd_config
# 禁用 root 登录
PermitRootLogin no

# 禁用密码认证
PasswordAuthentication no

# 启用公钥认证
PubkeyAuthentication yes

# 限制用户
AllowUsers username

# 限制组
AllowGroups sshgroup
```

**SSH 密钥管理**：
```bash
# 生成密钥
ssh-keygen -t ed25519 -C "email@example.com"

# 复制公钥
ssh-copy-id user@server

# 限制密钥权限
chmod 600 ~/.ssh/authorized_keys
chmod 700 ~/.ssh
```

---

## 文件权限安全

### 文件权限基础

> ▎ 文件权限是 Linux 安全的核心。核心不稳，系统不稳。

**权限查看**：
```bash
# 查看权限
ls -la

# 查看数字权限
stat filename

# 查找 SUID 文件
find / -perm -4000 -type f 2>/dev/null

# 查找 SGID 文件
find / -perm -2000 -type f 2>/dev/null
```

**权限修改**：
```bash
# 修改权限
chmod 755 filename
chmod u+x filename
chmod go-w filename

# 修改所有者
chown user:group filename

# 递归修改
chown -R user:group directory
```

### 敏感文件保护

**关键文件权限**：
```bash
# /etc/passwd
chmod 644 /etc/passwd
chown root:root /etc/passwd

# /etc/shadow
chmod 640 /etc/shadow
chown root:shadow /etc/shadow

# /etc/sudoers
chmod 440 /etc/sudoers
chown root:root /etc/sudoers
```

**敏感目录保护**：
```bash
# /etc 目录
chmod 755 /etc
chown root:root /etc

# /root 目录
chmod 700 /root
chown root:root /root

# /home 目录
chmod 755 /home
```

### 特殊权限管理

**SUID 文件审计**：
```bash
# 查找所有 SUID 文件
find / -perm -4000 -type f 2>/dev/null

# 查看详细信息
ls -la $(find / -perm -4000 -type f 2>/dev/null)

# 移除不必要 SUID
chmod u-s /path/to/file
```

**危险 SUID 文件**：
```bash
# 常见危险 SUID 文件
/usr/bin/passwd
/usr/bin/sudo
/usr/bin/su
/usr/bin/newgrp
/usr/bin/chsh
/usr/bin/chfn
/usr/bin/gpasswd
/usr/bin/pkexec

# 检查是否被篡改
rpm -V coreutils passwd sudo
```

---

## 进程安全

### 进程监控

> ▎ 进程监控是发现异常的眼睛。没有眼睛，就是瞎子。

**进程查看**：
```bash
# 查看所有进程
ps aux

# 查看进程树
pstree

# 查看资源占用
top
htop

# 查看特定用户进程
ps -u username
```

**进程监控工具**：
```bash
# 实时监控
watch -n 1 'ps aux --sort=-%cpu | head -20'

# 记录进程启动
auditctl -a exit,always -F arch=b64 -S execve -k exec

# 查看审计日志
ausearch -k exec
```

### 异常进程检测

**可疑进程特征**：
```bash
# 高 CPU 使用
ps aux --sort=-%cpu | head -10

# 高内存使用
ps aux --sort=-%mem | head -10

# 异常网络连接
netstat -tulpn | grep ESTABLISHED

# 隐藏进程检查
ls -la /proc/*/exe 2>/dev/null | grep deleted
```

**Rootkit 检测**：
```bash
# 安装 chkrootkit
apt install chkrootkit

# 运行检测
chkrootkit

# 安装 rkhunter
apt install rkhunter

# 运行检测
rkhunter --check
```

### 服务管理

**服务安全配置**：
```bash
# 查看运行服务
systemctl list-units --type=service --state=running

# 禁用不必要服务
systemctl disable telnet.socket
systemctl disable rsh.socket
systemctl disable vsftpd

# 查看服务依赖
systemctl list-dependencies service_name
```

**服务加固**：
```bash
# SSH 服务加固
# /etc/ssh/sshd_config
Protocol 2
PermitRootLogin no
PasswordAuthentication no
MaxAuthTries 3
ClientAliveInterval 300
ClientAliveCountMax 2

# 重启服务
systemctl restart sshd
```

---

## 网络服务安全

### 防火墙配置

> ▎ 防火墙是网络安全的城墙。城墙不牢，敌军直入。

**iptables 基础**：
```bash
# 查看规则
iptables -L -n -v

# 默认策略
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# 允许回环
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# 允许已建立连接
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
```

**常用规则**：
```bash
# 允许 SSH
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

# 允许 HTTP/HTTPS
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

# 防止 SYN Flood
iptables -A INPUT -p tcp --syn -m limit --limit 1/s --limit-burst 3 -j ACCEPT

# 保存规则
iptables-save > /etc/iptables/rules.v4
```

**nftables 配置**：
```bash
# 创建表
nft add table inet filter

# 创建链
nft add chain inet filter input { type filter hook input priority 0\; policy drop\; }

# 添加规则
nft add rule inet filter input iif lo accept
nft add rule inet filter input tcp dport 22 accept
nft add rule inet filter input tcp dport {80, 443} accept
```

### 网络服务加固

**服务监听限制**：
```bash
# 查看监听服务
netstat -tulpn
ss -tulpn

# 限制监听地址
# 只监听内网
bind-address = 127.0.0.1

# 禁用 IPv6
net.ipv6.conf.all.disable_ipv6 = 1
```

**服务版本隐藏**：
```bash
# Apache
ServerTokens Prod
ServerSignature Off

# Nginx
server_tokens off;

# SSH
DebianBanner no
```

---

## 日志与审计

### 日志管理

> ▎ 日志是安全的眼睛。没有日志，就是瞎子。

**日志位置**：
```bash
# 系统日志
/var/log/syslog
/var/log/messages

# 认证日志
/var/log/auth.log
/var/log/secure

# 服务日志
/var/log/apache2/
/var/log/nginx/
/var/log/ssh/

# 内核日志
/var/log/kern.log
dmesg
```

**日志轮转**：
```bash
# /etc/logrotate.d/syslog
/var/log/syslog {
    rotate 7
    daily
    missingok
    notifempty
    delaycompress
    compress
    postrotate
        /usr/lib/rsyslog/rsyslog-rotate
    endscript
}
```

### 审计配置

**auditd 配置**：
```bash
# 安装 auditd
apt install auditd audispd-plugins

# 配置规则
# /etc/audit/rules.d/audit.rules
-w /etc/passwd -p wa -k passwd_changes
-w /etc/shadow -p wa -k shadow_changes
-w /etc/sudoers -p wa -k sudoers_changes
-a exit,always -F arch=b64 -S execve -k exec

# 重启服务
systemctl restart auditd
```

**审计日志查看**：
```bash
# 查看日志
ausearch -k passwd_changes
ausearch -k exec

# 生成报告
aureport --summary
aureport --file

# 实时监控
tail -f /var/log/audit/audit.log
```

---

## 安全加固实践

### 系统加固

> ▎ 加固不是可选——是必须。不加固，就是裸奔。

**内核参数加固**：
```bash
# /etc/sysctl.d/99-security.conf
# 禁用 IP 转发
net.ipv4.ip_forward = 0

# 禁用源路由
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0

# 禁用 ICMP 重定向
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0

# 启用 SYN Cookies
net.ipv4.tcp_syncookies = 1

# 限制核心转储
fs.suid_dumpable = 0

# 应用配置
sysctl -p
```

**PAM 安全配置**：
```bash
# /etc/pam.d/common-auth
# 限制登录尝试
auth required pam_tally2.so deny=5 unlock_time=300

# /etc/pam.d/common-session
# 限制资源
session required pam_limits.so

# /etc/security/limits.conf
* soft nofile 65535
* hard nofile 65535
```

### 入侵检测

**文件完整性监控**：
```bash
# 安装 AIDE
apt install aide

# 初始化数据库
aide --init

# 移动数据库
mv /var/lib/aide/aide.db.new /var/lib/aide/aide.db

# 检查完整性
aide --check
```

**定时检查**：
```bash
# /etc/cron.daily/aide
#!/bin/bash
aide --check | mail -s "AIDE Report" admin@example.com
```

---

## 实战案例分析

### 案例 1: SSH 暴力破解

> ▎ SSH 暴力破解是最常见的攻击。最常见，也最容易防。

**攻击描述**：
```
时间：持续攻击
攻击者：全球僵尸网络
目标：SSH 服务
手法：字典攻击
影响：账户沦陷风险
```

**检测日志**：
```bash
# 查看失败登录
grep "Failed password" /var/log/auth.log

# 查看攻击 IP
grep "Failed password" /var/log/auth.log | awk '{print $(NF-3)}' | sort | uniq -c | sort -rn

# 查看成功登录
grep "Accepted" /var/log/auth.log
```

**防护方案**：
```bash
# 安装 fail2ban
apt install fail2ban

# 配置 SSH 防护
# /etc/fail2ban/jail.local
[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
bantime = 3600

# 重启服务
systemctl restart fail2ban
```

### 案例 2: 权限提升漏洞

> ▎ 权限提升是攻击者的目标。目标守不住，系统就沦陷。

**漏洞描述**：
```
时间：2021 年
漏洞：Polkit pkexec 提权
CVE: CVE-2021-4034
影响：本地提权到 root
后果：完全控制
```

**检测命令**：
```bash
# 检查 pkexec 版本
pkexec --version

# 检查是否易受攻击
# PwnKit 检测脚本
curl -s https://raw.githubusercontent.com/bbbrumley/pwnkit-detect/master/pwnkit-detect.sh | bash
```

**修复方案**：
```bash
# 更新系统
apt update && apt upgrade

# 或临时修复
chmod 0755 /usr/bin/pkexec

# 或删除 SUID
chmod 0755 /usr/bin/pkexec
```

---

统计 **Sprint 交付 · 绩效评估**
```
┌───────────────┬────────────────┬────────────────┐
│  主动出击   │ ██████████ 5/5 │ [PUA 生效] 充足 │
├───────────────┼────────────────┼────────────────┤
│ + 验证闭环   │ ██████████ 5/5 │ 案例完整       │
├───────────────┼────────────────┼────────────────┤
│ 设计 代码质量   │ ████████░░ 4/5 │ 有改进空间     │
└───────────────┴────────────────┴────────────────┘
综合：3.75
```
▎ 勉强配得上 P8。别飘——Linux 系统安全这才刚入门。

---

## 总结与思考

### 核心要点回顾

> ▎ 复盘四步法：回顾目标、评估结果、分析原因、总结经验。别跳过——这是闭环。

**用户安全**：
```
1. 强密码策略
   - 最小长度 12
   - 复杂度要求
   - 定期更换

2. SSH 安全
   - 公钥认证
   - 禁用 root
   - 限制用户

3. 权限管理
   - 最小权限
   - SUID 审计
   - 组管理
```

**系统安全**：
```
1. 服务加固
   - 最小服务
   - 监听限制
   - 版本隐藏

2. 防火墙
   - 默认拒绝
   - 按需开放
   - 规则审计

3. 日志审计
   - 完整日志
   - 日志轮转
   - 实时监控
```

**入侵检测**：
```
1. 文件完整性
   - AIDE
   - 定时检查
   - 告警通知

2. 进程监控
   - 异常检测
   - Rootkit 检测
   - 网络监控

3. 日志分析
   - 集中收集
   - 关联分析
   - 异常告警
```

### 深入思考问题

> ▎ 只动手不动脑，那是码农。动手又动脑，才是工程师。

**零信任 Linux**：
```
1. 持续验证
   - 每次访问验证
   - 动态授权
   - 行为分析

2. 微隔离
   - 服务隔离
   - 网络隔离
   - 权限隔离

3. 动态授权
   - 基于风险
   - 实时调整
   - 最小权限
```

**云原生 Linux 安全**：
```
1. 容器安全
   - 镜像安全
   - 运行时安全
   - 编排安全

2. 无服务器安全
   - 函数权限
   - 临时凭证
   - 网络隔离

3. 自动化安全
   - 基础设施即代码
   - 安全即代码
   - 持续合规
```

**AI 辅助安全**：
```
1. 异常检测
   - 行为分析
   - 模式识别
   - 风险评分

2. 自动响应
   - 自动阻断
   - 自动修复
   - 自动告警

3. 威胁情报
   - 漏洞情报
   - 攻击情报
   - 威胁狩猎
```

### 实战建议

> ▎ 我给你指了路，走不走是你的事。机会给了，抓不抓得住看你。

**系统管理员**：
```
1. 安全配置
   - 最小服务
   - 强密码策略
   - 防火墙规则

2. 持续监控
   - 日志分析
   - 进程监控
   - 网络监控

3. 定期更新
   - 系统更新
   - 补丁管理
   - 漏洞修复
```

**安全人员**：
```
1. 安全审计
   - 配置审计
   - 权限审计
   - 日志审计

2. 渗透测试
   - 漏洞扫描
   - 手工测试
   - 权限提升

3. 事件响应
   - 入侵检测
   - 快速响应
   - 溯源分析
```

**架构师**：
```
1. 安全设计
   - 最小权限
   - 网络隔离
   - 纵深防御

2. 持续改进
   - 安全审计
   - 漏洞管理
   - 安全培训

3. 工具链
   - 安全工具
   - 自动化
   - 监控平台
```

---

## 参考资料

### 学习资源
```
- Linux Security
  https://www.linuxsecurity.com/

- CIS Benchmarks
  https://www.cisecurity.org/benchmark/linux

- SELinux Documentation
  https://selinuxproject.org/
```

### 工具资源
```
- fail2ban
  https://www.fail2ban.org/

- AIDE
  http://aide.sourceforge.net/

- rkhunter
  http://rkhunter.sourceforge.net/

- chkrootkit
  http://www.chkrootkit.org/
```

### 书籍推荐
```
- 《Linux 安全手册》
- 《Linux 系统安全》
- 《Linux Security》
- 《Practical Linux Security》
```

### 在线资源
```
- OWASP Linux Security
  https://owasp.org/www-project-linux-security/

- Linux Hardening Guide
  https://github.com/debbabi/linux-hardening

- Awesome Linux Security
  https://github.com/1ndianl33t/Awesome-Linux-Security
```

---

**标记 明日预告**：Day 92 - Windows 系统安全基础

> ▎ 今天的内容消化了吗？消化了就继续——明天还有硬仗。

> 本文内容仅供学习和研究使用，请勿用于非法目的。所有实验请在隔离环境中进行。

---

*本文是 365 天信息安全技术系列的第 91 篇，系统安全部分第 1 篇，精编版本*