一、入侵应急响应流程
当服务器遭遇攻击时,应立即执行以下标准化操作流程:
- 断网隔离:通过物理断开网络或防火墙阻断所有入站连接,防止横向渗透
- 日志备份:使用
cp -a /var/log/ /backup/完整备份系统日志,避免攻击者清除痕迹 - 快照创建:通过虚拟机快照或LVM快照保存当前系统状态,便于后续取证分析
- 漏洞评估:运行
yum update --security检查未修复的安全补丁
二、关键日志分析方法
通过系统日志定位攻击入口点和异常行为:
- 登录审计:
grep "Failed password" /var/log/secure | awk '{print $11}' | sort | uniq -c
统计异常IP的暴力破解尝试次数 - 进程检查:
ps auxf | grep -E '(\.sh|wget|curl|\.py)'
识别可疑进程树 - 文件变更:
rpm -Va | grep '^..5'
验证系统文件完整性
三、系统加固核心策略
基于最小化原则实施安全加固:
| 风险项 | 加固方法 | 配置示例 |
|---|---|---|
| SSH安全 | 禁用密码登录 | PasswordAuthentication no |
| 权限控制 | 限制cron权限 | chmod 600 /etc/crontab |
| 账户管理 | 删除空密码账户 | awk -F: ‘($2 == “”)’ /etc/shadow |
四、高级防护方案部署
构建多层防御体系提升安全基线:
- 动态防御:部署Fail2Ban自动封禁异常IP,配置拦截规则:
maxretry = 3/bantime = 3600 - 网络隔离:通过firewalld创建DMZ区域,仅开放必要服务端口
- 文件监控:安装Tripwire实现关键文件的实时完整性校验
通过应急响应-日志分析-系统加固-主动防护的四阶段防御模型,可有效提升CentOS服务器的安全防护能力。建议每月执行lynis audit system进行安全审计,并建立自动化监控告警机制。
