Day-229-渗透测试中的运维安全测试

# Day 254: 渗透测试中的运维安全测试

> 渗透测试系列第 44 天 | 预计阅读时间：50 分钟 | 难度：★★★★★

---

## 清单 目录
1. [运维安全概述](#运维安全概述)
2. [服务器配置安全](#服务器配置安全)
3. [权限管理测试](#权限管理测试)
4. [凭证安全测试](#凭证安全测试)
5. [日志安全测试](#日志安全测试)
6. [备份安全测试](#备份安全测试)
7. [中间件安全测试](#中间件安全测试)
8. [数据库运维安全](#数据库运维安全)
9. [容器与编排安全](#容器与编排安全)
10. [云运维安全](#云运维安全)
11. [运维监控与审计](#运维监控与审计)
12. [实战案例](#实战案例)
13. [总结与思考](#总结与思考)
14. [参考资料](#参考资料)

---

## 运维安全概述

### 运维安全重要性

```
┌─────────────────────────────────────────────────────────────┐
│                    运维安全重要性                            │
├─────────────────────────────────────────────────────────────┤
│                                                             │
│  运维导致的安全事件统计：                                    │
│  ├── 配置错误：35%                                          │
│  ├── 权限管理不当：25%                                      │
│  ├── 凭证泄露：20%                                          │
│  ├── 补丁未及时：15%                                        │
│  └── 其他：5%                                               │
│                                                             │
│  常见运维安全问题：                                          │
│  ├── 默认配置未修改                                         │
│  ├── 权限过于宽松                                           │
│  ├── 凭证硬编码/共享                                        │
│  ├── 日志未保护                                             │
│  ├── 备份未加密                                             │
│  ├── 补丁未及时更新                                         │
│  └── 监控缺失                                               │
│                                                             │
│  运维安全测试价值：                                          │
│  ├── 发现配置错误                                           │
│  ├── 识别权限问题                                           │
│  ├── 检测凭证泄露                                           │
│  └── 评估运维流程                                           │
│                                                             │
└─────────────────────────────────────────────────────────────┘
```

### 运维安全测试范围

```
运维安全测试范围:
├── 服务器安全
│   ├── 操作系统配置
│   ├── 服务配置
│   └── 网络安全
├── 权限管理
│   ├── 用户权限
│   ├── 文件权限
│   └── 命令权限
├── 凭证管理
│   ├── 密码策略
│   ├── 密钥管理
│   └── 凭证存储
├── 日志审计
│   ├── 日志配置
│   ├── 日志保护
│   └── 日志分析
├── 备份恢复
│   ├── 备份策略
│   ├── 备份加密
│   └── 恢复测试
└── 监控告警
    ├── 监控覆盖
    ├── 告警配置
    └── 响应流程
```

### 运维安全测试方法

```
测试方法:
├── 配置检查
│   ├── 基线对比
│   ├── 最佳实践对比
│   └── 合规检查
├── 权限测试
│   ├── 权限枚举
│   ├── 权限提升
│   └── 越权测试
├── 凭证测试
│   ├── 凭证发现
│   ├── 凭证破解
│   └── 凭证复用
├── 漏洞扫描
│   ├── 配置漏洞
│   ├── 服务漏洞
│   └── 应用漏洞
└── 流程测试
    ├── 变更流程
    ├── 应急流程
    └── 审计流程
```

---

## 服务器配置安全

### Linux 配置检查

```bash
# Linux 安全配置检查清单

# 1. 用户和组检查
cat /etc/passwd          # 检查用户
cat /etc/shadow          # 检查密码哈希
cat /etc/group           # 检查组
last                     # 最后登录

# 2. SSH 配置检查
cat /etc/ssh/sshd_config
# 检查项:
# - PermitRootLogin no
# - PasswordAuthentication no
# - PubkeyAuthentication yes
# - PermitEmptyPasswords no
# - X11Forwarding no

# 3. 服务检查
systemctl list-units --type=service --state=running
# 关闭不必要的服务

# 4. 防火墙检查
iptables -L -n
# 或
firewall-cmd --list-all

# 5. 文件权限检查
# SUID/SGID 文件
find / -perm -4000 -type f 2>/dev/null
find / -perm -2000 -type f 2>/dev/null

# 6. 系统补丁检查
# Debian/Ubuntu
apt list --upgradable

# RHEL/CentOS
yum check-update
```

### Windows 配置检查

```powershell
# Windows 安全配置检查

# 1. 用户和组检查
net user                    # 用户列表
net localgroup              # 组列表
net localgroup administrators  # 管理员组

# 2. 服务检查
Get-Service | Where-Object {$_.Status -eq 'Running'}

# 3. 共享检查
net share                   # 共享列表

# 4. 防火墙检查
netsh advfirewall show allprofiles

# 5. 注册表安全检查
# 检查自动运行
Get-ItemProperty HKLM:\Software\Microsoft\Windows\CurrentVersion\Run
Get-ItemProperty HKCU:\Software\Microsoft\Windows\CurrentVersion\Run

# 6. 补丁检查
Get-HotFix | Sort-Object InstalledOn -Descending

# 7. 策略检查
gpresult /h report.html     # 组策略报告
```

### 常见配置错误

```
常见配置错误:
├── 默认凭证
│   ├── 默认密码未修改
│   └── 默认账户未删除
├── 服务配置
│   ├── 不必要的服务开启
│   ├── 服务以高权限运行
│   └── 服务监听所有接口
├── 文件权限
│   ├── 敏感文件可读
│   ├── 配置文件可写
│   └── 脚本可执行
├── 网络配置
│   ├── 防火墙未启用
│   ├── 端口全开
│   └── 无网络分段
└── 日志配置
    ├── 日志未启用
    ├── 日志大小限制
    └── 日志未保护
```

---

## 权限管理测试

### 用户权限测试

```
用户权限测试:
├── 账户枚举
│   ├── 有效账户
│   ├── 禁用账户
│   └── 默认账户
├── 权限检查
│   ├── 本地权限
│   ├── 域权限
│   └── 应用权限
├── 权限提升
│   ├── SUID/SGID
│   ├── sudo 配置
│   └── 服务漏洞
└── 权限滥用
    └── 越权操作
```

```bash
# Linux 权限测试

# 1. 用户枚举
cat /etc/passwd | cut -d: -f1
getent passwd

# 2. sudo 权限检查
sudo -l

# 3. SUID 文件查找
find / -perm -4000 -type f 2>/dev/null

# 4. 可写文件查找
find / -writable -type f 2>/dev/null

# 5. cron 任务检查
cat /etc/crontab
ls -la /etc/cron.*
crontab -l

# 6. 能力检查
getcap -r / 2>/dev/null
```

```powershell
# Windows 权限测试

# 1. 用户枚举
net user
Get-LocalUser

# 2. 组权限
net localgroup administrators
Get-LocalGroupMember Administrators

# 3. 权限检查
whoami /all
whoami /priv

# 4. 文件权限
icacls C:\path\to\file
Get-Acl C:\path\to\file

# 5. 服务权限
Get-Service | Get-ServiceAcl

# 6. 注册表权限
Get-Acl HKLM:\Software | Format-List
```

### 文件权限测试

```
文件权限测试重点:
├── 配置文件
│   ├── /etc/passwd
│   ├── /etc/shadow
│   └── 应用配置文件
├── 凭证文件
│   ├── SSH 密钥
│   ├── 数据库凭证
│   └── API 密钥
├── 脚本文件
│   ├── 启动脚本
│   ├── 备份脚本
│   └── 运维脚本
└── 日志文件
    ├── 系统日志
    ├── 应用日志
    └── 审计日志
```

```bash
# 敏感文件权限检查

# 1. 检查敏感文件权限
ls -la /etc/shadow      # 应该是 root:shadow 640
ls -la /etc/passwd      # 应该是 root:root 644
ls -la ~/.ssh/id_rsa    # 应该是 600

# 2. 检查配置文件
find /etc -name "*.conf" -perm -004  # 其他人可读
find /etc -name "*.conf" -perm -002  # 其他人可写

# 3. 检查脚本
find / -name "*.sh" -perm -002 2>/dev/null
find / -name "*.py" -perm -002 2>/dev/null

# 4. 检查备份文件
find / -name "*.bak" -perm -004 2>/dev/null
find / -name "*~" -perm -004 2>/dev/null
```

---

## 凭证安全测试

### 凭证发现

```
凭证存储位置:
├── 配置文件
│   ├── /etc/ 下配置文件
│   ├── 应用配置文件
│   └── 环境变量
├── 代码文件
│   ├── 源代码
│   ├── 脚本文件
│   └── 配置文件
├── 历史命令
│   ├── .bash_history
│   ├── .zsh_history
│   └── 系统日志
├── 数据库
│   ├── 用户表
│   └── 配置表
└── 备份文件
    ├── 数据库备份
    └── 配置备份
```

```bash
# Linux 凭证发现

# 1. 搜索配置文件中的凭证
grep -r "password" /etc/ 2>/dev/null
grep -r "passwd" /etc/ 2>/dev/null
grep -r "secret" /etc/ 2>/dev/null
grep -r "api_key" /etc/ 2>/dev/null

# 2. 搜索用户目录
grep -r "password" /home/*/ 2>/dev/null
grep -r "password" /root/ 2>/dev/null

# 3. 搜索环境变量
env | grep -i pass
env | grep -i key
env | grep -i secret

# 4. 搜索历史命令
cat ~/.bash_history | grep -i password
cat ~/.bash_history | grep -i mysql
cat ~/.bash_history | grep -i ssh

# 5. 搜索特定文件
find / -name "*.conf" -exec grep -l "password" {} \; 2>/dev/null
find / -name "*.xml" -exec grep -l "password" {} \; 2>/dev/null
find / -name "*.json" -exec grep -l "password" {} \; 2>/dev/null
```

```powershell
# Windows 凭证发现

# 1. 搜索文件
Select-String -Path C:\*.config -Pattern "password" -Recurse
Select-String -Path C:\*.xml -Pattern "password" -Recurse
Select-String -Path C:\*.json -Pattern "password" -Recurse

# 2. 检查环境变量
Get-ChildItem Env: | Select-String "pass|key|secret"

# 3. 检查注册表
Get-ItemProperty -Path HKLM:\Software\* | Select-String "password"

# 4. 检查 IIS 配置
Get-WebConfiguration -Filter "/system.applicationHost/sites/siteDefaults/applicationDefaults"

# 5. 检查计划任务
Get-ScheduledTask | Get-ScheduledTaskAction
```

### 凭证破解

```
凭证破解方法:
├── 在线破解
│   ├── SSH 爆破
│   ├── RDP 爆破
│   └── Web 登录爆破
├── 离线破解
│   ├── 哈希破解
│   ├── 密钥破解
│   └── 证书破解
└── 凭证复用
    ├── 密码复用
    └── 密钥复用
```

```bash
# 凭证破解测试

# 1. SSH 爆破
hydra -L users.txt -P passwords.txt ssh://192.168.1.100

# 2. RDP 爆破
hydra -L users.txt -P passwords.txt rdp://192.168.1.100

# 3. MySQL 爆破
hydra -L users.txt -P passwords.txt mysql://192.168.1.100

# 4. 哈希破解
# 提取哈希
cat /etc/shadow
# 使用 hashcat
hashcat -m 1800 hash.txt wordlist.txt

# 5. SSH 密钥破解
# 检查弱密钥
ssh-keygen -l -f id_rsa
# 破解私钥密码
ssh2john id_rsa > hash.txt
hashcat -m 10300 hash.txt wordlist.txt
```

### 凭证管理测试

```
凭证管理检查:
├── 密码策略
│   ├── 长度要求
│   ├── 复杂度要求
│   └── 更换周期
├── 密钥管理
│   ├── 密钥强度
│   ├── 密钥轮换
│   └── 密钥存储
├── 凭证存储
│   ├── 加密存储
│   ├── 访问控制
│   └── 审计日志
└── 凭证使用
    ├── 最小权限
    ├── 定期轮换
    └── 使用审计
```

---

## 日志安全测试

### 日志配置检查

```
日志配置检查:
├── 日志启用
│   ├── 系统日志
│   ├── 应用日志
│   └── 安全日志
├── 日志级别
│   ├── 信息级别
│   ├── 警告级别
│   └── 错误级别
├── 日志轮转
│   ├── 轮转策略
│   ├── 保留周期
│   └── 压缩设置
└── 日志存储
    ├── 本地存储
    ├── 远程存储
    └── 集中存储
```

```bash
# Linux 日志检查

# 1. 检查日志服务
systemctl status rsyslog
systemctl status syslog-ng

# 2. 检查日志配置
cat /etc/rsyslog.conf
cat /etc/syslog.conf

# 3. 检查日志文件
ls -la /var/log/
# 检查权限
# 应该是 root:adm 640

# 4. 检查日志轮转
cat /etc/logrotate.conf
ls -la /etc/logrotate.d/

# 5. 检查审计日志
systemctl status auditd
auditctl -l
```

```powershell
# Windows 日志检查

# 1. 检查事件日志
Get-WinEvent -ListLog *

# 2. 检查日志配置
wevtutil el  # 列出所有日志
wevtutil gl Security  # 查看安全日志配置

# 3. 检查日志大小
Get-WinEvent -ListLog Security | Select-Object LogName, RecordCount, FileSize

# 4. 检查日志权限
Get-Acl C:\Windows\System32\winevt\Logs | Format-List

# 5. 检查日志转发
Get-WinEvent -ListLog * | Where-Object {$_.IsClassicLog}
```

### 日志保护测试

```
日志保护测试:
├── 日志完整性
│   ├── 防篡改
│   ├── 数字签名
│   └── 哈希校验
├── 日志访问控制
│   ├── 读取权限
│   ├── 写入权限
│   └── 删除权限
├── 日志加密
│   ├── 传输加密
│   └── 存储加密
└── 日志备份
    ├── 定期备份
    ├── 异地备份
    └── 备份保护
```

```bash
# 日志保护测试

# 1. 日志篡改测试
# 尝试修改日志
echo "test" >> /var/log/auth.log
# 应该失败或需要 root 权限

# 2. 日志删除测试
# 尝试删除日志
rm /var/log/auth.log
# 应该失败

# 3. 日志权限检查
ls -la /var/log/
# 检查是否有未授权访问

# 4. 日志完整性检查
# 检查是否有完整性保护
# 如 rsyslog 的签名

# 5. 日志集中化检查
# 检查是否配置远程日志
grep -r "@@" /etc/rsyslog*
```

---

## 备份安全测试

### 备份策略检查

```
备份策略检查:
├── 备份范围
│   ├── 系统备份
│   ├── 数据备份
│   └── 配置备份
├── 备份频率
│   ├── 全量备份
│   ├── 增量备份
│   └── 差异备份
├── 备份保留
│   ├── 保留周期
│   └── 版本数量
└── 备份验证
    ├── 恢复测试
    └── 完整性检查
```

### 备份安全测试

```
备份安全测试:
├── 备份文件保护
│   ├── 文件权限
│   ├── 加密状态
│   └── 存储位置
├── 备份访问控制
│   ├── 访问权限
│   ├── 传输安全
│   └── 审计日志
├── 备份内容安全
│   ├── 敏感数据
│   ├── 凭证信息
│   └── 配置信息
└── 恢复流程安全
    ├── 恢复权限
    ├── 恢复验证
    └── 恢复审计
```

```bash
# 备份安全测试

# 1. 备份文件发现
find / -name "*.bak" 2>/dev/null
find / -name "*.backup" 2>/dev/null
find / -name "*~" 2>/dev/null
find /var/backups -type f 2>/dev/null

# 2. 备份文件权限检查
ls -la /var/backups/
ls -la /backup/

# 3. 备份内容检查
# 检查是否包含敏感信息
strings backup.sql | grep -i password
strings backup.tar | grep -i secret

# 4. 备份加密检查
file backup.sql
# 检查是否加密

# 5. 备份位置检查
# 检查是否在公开位置
ls -la /tmp/
ls -la /var/www/
```

---

## 中间件安全测试

### Web 服务器安全

```
Web 服务器安全检查:
├── Apache
│   ├── 版本信息隐藏
│   ├── 目录列表禁用
│   ├── 文件访问控制
│   └── SSL 配置
├── Nginx
│   ├── 版本信息隐藏
│   ├── 目录列表禁用
│   ├── 文件访问控制
│   └── SSL 配置
└── IIS
    ├── 版本信息隐藏
    ├── 目录浏览禁用
    ├── 文件访问控制
    └── SSL 配置
```

```bash
# Apache 安全检查

# 1. 版本信息隐藏
# httpd.conf
ServerTokens Prod
ServerSignature Off

# 2. 目录列表禁用
<Directory /var/www/html>
    Options -Indexes
</Directory>

# 3. 文件访问控制
<FilesMatch "\.(htaccess|htpasswd|ini|log|sh|sql)$">
    Require all denied
</FilesMatch>

# 4. SSL 配置检查
# 检查 SSL 协议和加密套件
openssl s_client -connect localhost:443

# 5. 配置文件检查
cat /etc/httpd/conf/httpd.conf
cat /etc/apache2/apache2.conf
```

```bash
# Nginx 安全检查

# 1. 版本信息隐藏
# nginx.conf
server_tokens off;

# 2. 目录列表禁用
location / {
    autoindex off;
}

# 3. 文件访问控制
location ~ /\.(htaccess|htpasswd|ini|log|sh|sql)$ {
    deny all;
}

# 4. SSL 配置检查
# 检查 SSL 协议
openssl s_client -connect localhost:443

# 5. 配置文件检查
cat /etc/nginx/nginx.conf
cat /etc/nginx/sites-available/*
```

### 应用服务器安全

```
应用服务器检查:
├── Tomcat
│   ├── 默认应用删除
│   ├── 管理界面保护
│   ├── 连接器配置
│   └── 日志配置
├── JBoss/WildFly
│   ├── 管理界面保护
│   ├── 默认应用删除
│   └── 安全域配置
└── WebLogic
    ├── 管理界面保护
    ├── T3 协议配置
    └── 安全策略
```

```bash
# Tomcat 安全检查

# 1. 默认应用检查
ls /opt/tomcat/webapps/
# 应删除 docs, examples, host-manager, manager

# 2. 用户配置检查
cat /opt/tomcat/conf/tomcat-users.xml
# 检查默认密码

# 3. 连接器配置
cat /opt/tomcat/conf/server.xml
# 检查 AJP 连接器
# 应限制访问或禁用

# 4. 管理界面保护
# 应限制 IP 访问
# 应使用强密码

# 5. 日志配置
ls -la /opt/tomcat/logs/
```

---

## 数据库运维安全

### 数据库配置安全

```
数据库安全检查:
├── MySQL/MariaDB
│   ├── 默认账户
│   ├── 远程访问
│   ├── 文件权限
│   └── 日志配置
├── PostgreSQL
│   ├── 认证配置
│   ├── 访问控制
│   ├── 日志配置
│   └── 扩展安全
├── MongoDB
│   ├── 认证启用
│   ├── 绑定地址
│   ├── 访问控制
│   └── 审计日志
└── Redis
    ├── 认证启用
    ├── 绑定地址
    ├── 危险命令
    └── 持久化安全
```

```bash
# MySQL 安全检查

# 1. 默认账户检查
mysql -u root -p -e "SELECT user, host FROM mysql.user;"
# 删除匿名用户
# 修改 root 密码

# 2. 远程访问检查
mysql -u root -p -e "SELECT user, host FROM mysql.user WHERE host != 'localhost';"

# 3. 权限检查
mysql -u root -p -e "SHOW GRANTS FOR 'user'@'host';"

# 4. 配置文件检查
cat /etc/mysql/my.cnf
# 检查 bind-address
# 检查 skip-networking

# 5. 日志检查
ls -la /var/log/mysql/
```

```bash
# Redis 安全检查

# 1. 认证检查
redis-cli
# 检查是否需要密码

# 2. 绑定地址检查
cat /etc/redis/redis.conf
# 检查 bind 配置
# 应该绑定到 127.0.0.1

# 3. 危险命令检查
redis-cli CONFIG GET disable_commands
# 应禁用 FLUSHALL, FLUSHDB, CONFIG 等

# 4. 持久化检查
# 检查 RDB/AOF 配置
# 检查文件权限

# 5. 主从复制检查
# 检查复制配置
# 检查复制密码
```

### 数据库运维操作安全

```
运维操作安全:
├── 备份操作
│   ├── 备份加密
│   ├── 备份权限
│   └── 备份传输
├── 数据导出
│   ├── 导出权限
│   ├── 数据脱敏
│   └── 导出审计
├── 数据导入
│   ├── 导入验证
│   ├── 数据检查
│   └── 导入审计
└── 维护操作
    ├── 权限控制
    ├── 操作审计
    └── 变更管理
```

---

## 容器与编排安全

### Docker 安全

```
Docker 安全检查:
├── 守护进程安全
│   ├── 远程访问
│   ├── TLS 配置
│   └── 权限控制
├── 镜像安全
│   ├── 镜像来源
│   ├── 镜像扫描
│   └── 镜像签名
├── 容器安全
│   ├── 特权模式
│   ├── 能力限制
│   └── 资源限制
└── 网络安全
    ├── 网络模式
    ├── 端口暴露
    └── 网络策略
```

```bash
# Docker 安全检查

# 1. 守护进程检查
# 检查是否启用远程访问
ps aux | grep dockerd
# 检查 -H 参数

# 2. 镜像检查
docker images
# 检查镜像来源
# 扫描镜像漏洞
docker scan image_name

# 3. 容器检查
docker ps
docker inspect container_id
# 检查特权模式
# 检查能力
# 检查挂载

# 4. 网络检查
docker network ls
docker port container_id
# 检查端口暴露

# 5. 卷检查
docker volume ls
# 检查卷权限
```

### Kubernetes 安全

```
Kubernetes 安全检查:
├── API Server
│   ├── 认证配置
│   ├── 授权配置
│   └── 访问控制
├── 节点安全
│   ├── Kubelet 配置
│   ├── 节点权限
│   └── 节点隔离
├── Pod 安全
│   ├── 安全上下文
│   ├── 能力限制
│   └── 资源限制
└── 网络安全
    ├── 网络策略
    ├── 服务暴露
    └── Ingress 配置
```

```bash
# Kubernetes 安全检查

# 1. API Server 检查
kubectl cluster-info
kubectl get componentstatuses

# 2. 权限检查
kubectl auth can-i --list
kubectl get clusterrolebindings

# 3. Pod 安全检查
kubectl get pods --all-namespaces -o yaml
# 检查 securityContext
# 检查 capabilities

# 4. 网络策略检查
kubectl get networkpolicies --all-namespaces

# 5. Secret 检查
kubectl get secrets --all-namespaces
# 检查 Secret 使用
```

---

## 云运维安全

### 云配置安全

```
云安全检查:
├── IAM 配置
│   ├── 用户权限
│   ├── 角色权限
│   └── 策略配置
├── 网络安全
│   ├── 安全组
│   ├── 网络 ACL
│   └── VPC 配置
├── 存储安全
│   ├── 存储桶权限
│   ├── 加密配置
│   └── 访问日志
└── 监控审计
    ├── CloudTrail
    ├── 配置审计
    └── 告警配置
```

```bash
# AWS 安全检查

# 1. IAM 检查
aws iam list-users
aws iam list-roles
aws iam list-policies

# 2. 安全组检查
aws ec2 describe-security-groups
# 检查 0.0.0.0/0 规则

# 3. S3 检查
aws s3 ls
aws s3api get-bucket-acl --bucket bucket-name
# 检查公开访问

# 4. CloudTrail 检查
aws cloudtrail describe-trails
# 检查是否启用

# 5. 配置审计
aws config describe-config-rules
```

### 云运维操作安全

```
云运维安全:
├── 访问密钥管理
│   ├── 密钥轮换
│   ├── 密钥保护
│   └── 密钥审计
├── 资源管理
│   ├── 资源标签
│   ├── 资源监控
│   └── 资源审计
├── 变更管理
│   ├── 变更审批
│   ├── 变更记录
│   └── 变更审计
└── 成本管理
    ├── 成本监控
    ├── 异常检测
    └── 成本审计
```

---

## 运维监控与审计

### 监控配置

```
监控配置检查:
├── 系统监控
│   ├── CPU/内存
│   ├── 磁盘/网络
│   └── 进程监控
├── 应用监控
│   ├── 服务状态
│   ├── 性能指标
│   └── 错误监控
├── 安全监控
│   ├── 入侵检测
│   ├── 异常检测
│   └── 告警配置
└── 日志监控
    ├── 日志收集
    ├── 日志分析
    └── 告警配置
```

### 审计配置

```
审计配置检查:
├── 操作审计
│   ├── 命令审计
│   ├── 文件审计
│   └── 网络审计
├── 访问审计
│   ├── 登录审计
│   ├── 权限变更
│   └── 数据访问
├── 变更审计
│   ├── 配置变更
│   ├── 代码变更
│   └── 数据变更
└── 审计保护
    ├── 审计日志保护
    ├── 审计日志完整性
    └── 审计日志保留
```

```bash
# Linux 审计检查

# 1. 审计服务检查
systemctl status auditd

# 2. 审计规则检查
auditctl -l

# 3. 审计日志检查
ls -la /var/log/audit/
ausearch -m USER_LOGIN  # 登录审计
ausearch -m SYSCALL     # 系统调用审计
ausearch -m FILE_ACCESS # 文件访问审计

# 4. 命令审计
# 检查 bash 审计
cat /etc/profile.d/bashrc.sh

# 5. 审计保护检查
# 检查审计日志权限
# 检查审计配置保护
```

---

## 实战案例

### 案例一：企业运维安全评估

#### 场景描述

```
客户：某中型企业
规模：100+ 服务器
环境：Linux + Windows 混合
时间：2 周
```

#### 测试过程

```
Week 1: 配置检查
┌─────────────────────────────────────────────────────────┐
│ - 服务器配置检查                                        │
│   ├── Linux 配置检查 (50 台)                              │
│   ├── Windows 配置检查 (50 台)                          │
│   ├── 发现 30 台服务器存在配置问题                        │
│                                                         │
│ - 权限管理检查                                          │
│   ├── 用户权限检查                                      │
│   ├── sudo 权限检查                                     │
│   ├── 发现 10 个账户权限过大                              │
│                                                         │
│ - 凭证安全检查                                          │
│   ├── 配置文件凭证搜索                                  │
│   ├── 代码文件凭证搜索                                  │
│   ├── 发现 20 处硬编码凭证                                │
└─────────────────────────────────────────────────────────┘

Week 2: 深入测试
┌─────────────────────────────────────────────────────────┐
│ - 日志安全测试                                          │
│   ├── 日志配置检查                                      │
│   ├── 日志保护测试                                      │
│   ├── 发现 40% 服务器日志配置不当                         │
│                                                         │
│ - 备份安全测试                                          │
│   ├── 备份文件检查                                      │
│   ├── 备份权限检查                                      │
│   ├── 发现备份文件未加密                                  │
│                                                         │
│ - 中间件安全测试                                        │
│   ├── Web 服务器检查                                      │
│   ├── 数据库检查                                        │
│   ├── 发现多个默认配置                                    │
└─────────────────────────────────────────────────────────┘
```

#### 发现的问题

```
严重 (5 个):
├── 1. SSH 根密码登录启用
├── 2. 数据库远程访问无限制
├── 3. 硬编码 AWS 凭证
├── 4. 备份文件公开访问
└── 5. Docker 守护进程远程访问

高 (10 个):
├── 6-10. sudo 权限过大
├── 11-15. 日志未保护

中 (20 个):
├── 16-25. 配置错误
└── 26-35. 权限问题

低 (30 个):
└── 其他配置问题
```

### 案例二：云环境运维安全评估

#### 场景描述

```
客户：某云原生企业
环境：AWS + Kubernetes
规模：200+ 云资源
时间：3 周
```

#### 测试结果

```
发现:
├── 严重：3 个
│   ├── S3 存储桶公开访问
│   ├── IAM 权限过大
│   └── Security Group 全开
├── 高：8 个
│   ├── CloudTrail 未启用
│   ├── 密钥未轮换
│   └── 监控缺失
├── 中：15 个
│   ├── 配置问题
│   └── 权限问题
└── 低：25 个

建议:
├── 立即修复严重问题
├── 启用所有监控
├── 实施最小权限
├── 定期密钥轮换
└── 建立运维流程
```

---

## 总结与思考

### 核心要点回顾

1. **运维安全是基础安全**
   - 配置错误是主要风险
   - 权限管理是关键
   - 凭证安全是核心

2. **自动化检查重要**
   - 基线对比
   - 持续监控
   - 自动告警

3. **流程规范必要**
   - 变更管理
   - 权限审批
   - 审计流程

4. **监控审计关键**
   - 全面监控
   - 日志保护
   - 审计追踪

5. **持续改进必要**
   - 定期评估
   - 漏洞修复
   - 流程优化

### 实战建议

1. **对测试人员**:
   - 学习运维知识
   - 掌握检查工具
   - 理解业务流程
   - 合法测试

2. **对运维人员**:
   - 遵循最佳实践
   - 实施最小权限
   - 保护凭证
   - 启用监控

3. **对组织**:
   - 建立运维规范
   - 实施自动化
   - 定期审计
   - 持续培训

---

## 参考资料

### 学习资源

- **CIS Benchmarks**
  - https://www.cisecurity.org/cis-benchmarks/

- **OWASP Security Configuration**
  - https://cheatsheetseries.owasp.org/

- **NIST Security Guidelines**
  - https://csrc.nist.gov/

### 工具资源

| 工具 | 用途 | 链接 |
|------|------|------|
| **Lynis** | Linux 审计 | https://cisofy.com/lynis/ |
| **OpenVAS** | 漏洞扫描 | https://www.openvas.org/ |
| **kube-bench** | K8s 检查 | https://github.com/aquasecurity/kube-bench |
| **Prowler** | AWS 检查 | https://github.com/prowler-cloud/prowler |
| **Docker Bench** | Docker 检查 | https://github.com/docker/docker-bench-security |

### 书籍推荐

1. **《Linux Security Cookbook》**
   - Linux 安全实战

2. **《Kubernetes Security》**
   - 作者：Liz Rice
   - K8s 安全

3. **《AWS Security》**
   - AWS 安全指南

4. **《The Practice of System and Network Administration》**
   - 系统与网络运维

---

*365 天信息安全技术系列 | Day 254 | 渗透测试系列 | 运维安全测试*
*创建时间：2026-04-12 | 作者：安全专家 · 严谨专业版*