Linux系统安全扫描与漏洞评估指南

1. 准备工作

在开始扫描前，请确保： - 已获得必要的权限 - 扫描时间安排在业务低峰期 - 已备份重要数据 - 通知相关团队

2. 基础安全配置检查

2.1 系统更新检查

# 检查可用的系统更新
sudo apt update && sudo apt list --upgradable  # Debian/Ubuntu
sudo yum check-update  # CentOS/RHEL

2.2 用户和权限检查

# 检查特权用户
grep '^sudo' /etc/group
grep '^wheel' /etc/group  # RHEL/CentOS

# 检查空密码账户
sudo awk -F: '($2 == "") {print}' /etc/shadow

# 检查root远程登录
sudo grep "^PermitRootLogin" /etc/ssh/sshd_config

3. 自动化安全扫描工具

3.1 Lynis - 系统安全审计工具

# 安装
sudo apt install lynis  # Debian/Ubuntu
sudo yum install lynis  # RHEL/CentOS

# 运行完整扫描
sudo lynis audit system

3.2 OpenVAS/GVM - 漏洞评估工具

# 安装指南(需要单独服务器)
# 参考官方文档: https://greenbone.github.io/docs/
# 通常包括:
sudo apt install openvas
sudo gvm-setup

3.3 Nessus - 商业漏洞扫描工具

# 下载安装包(需注册获取)
# https://www.tenable.com/downloads/nessus
# 安装后通过web界面配置扫描

4. 网络服务扫描

4.1 Nmap - 网络端口扫描

# 安装
sudo apt install nmap  # Debian/Ubuntu
sudo yum install nmap  # RHEL/CentOS

# 扫描本地开放端口
sudo nmap -sS -sV -O -T4 127.0.0.1

# 完整扫描(耗时较长)
sudo nmap -A -T4 127.0.0.1

4.2 Nikto - Web服务器扫描

# 安装
sudo apt install nikto  # Debian/Ubuntu

# 扫描Web服务器
nikto -h http://localhost

5. 文件完整性检查

5.1 AIDE (Advanced Intrusion Detection Environment)

# 安装
sudo apt install aide  # Debian/Ubuntu
sudo yum install aide  # RHEL/CentOS

# 初始化数据库
sudo aideinit

# 运行检查
sudo aide --check

5.2 使用rkhunter检查rootkit

# 安装
sudo apt install rkhunter  # Debian/Ubuntu

# 更新数据库并扫描
sudo rkhunter --update
sudo rkhunter --checkall

6. 日志分析

6.1 检查异常登录

# 查看最近登录
last

# 检查失败登录
sudo grep "Failed password" /var/log/auth.log  # Debian/Ubuntu
sudo grep "Failed password" /var/log/secure   # RHEL/CentOS

6.2 使用logwatch分析日志

# 安装
sudo apt install logwatch  # Debian/Ubuntu

# 生成日报
sudo logwatch --detail High

7. 漏洞评估与修复

根据扫描结果： 1. 对发现的漏洞进行分类(CVSS评分) 2. 确定修复优先级 3. 实施修复方案： - 应用安全补丁 - 修改配置 - 禁用不必要的服务 - 更新易受攻击的软件

8. 定期扫描建议

• 关键系统：每周扫描
• 普通系统：每月扫描
• 重大安全公告发布后：立即扫描
• 系统重大变更后：重新扫描

9. 报告生成

为每次扫描创建详细报告，包括： - 扫描日期和时间 - 使用的工具和版本 - 发现的漏洞列表 - 漏洞严重程度评估 - 建议的修复措施 - 已实施的修复

通过以上步骤，您可以全面评估Linux系统的安全状况，并及时发现和修复潜在的安全漏洞。