CentOS服务器监控与安全事件响应指南

一、监控系统部署

1. 系统资源监控

推荐工具： - Prometheus + Grafana：开源监控解决方案 - Zabbix：企业级监控系统 - Netdata：实时性能监控工具

关键监控指标： - CPU使用率（重点关注异常峰值） - 内存使用情况（包括swap） - 磁盘空间及I/O性能 - 网络流量（入站/出站） - 系统负载（1/5/15分钟平均值）

2. 日志集中管理

推荐方案： - ELK Stack (Elasticsearch + Logstash + Kibana) - Graylog：专业日志管理平台 - rsyslog + logrotate：基础日志管理

关键日志： - /var/log/messages：系统主日志 - /var/log/secure：安全相关日志 - /var/log/audit/audit.log：审计日志 - /var/log/httpd/：Web服务日志（如适用）

二、安全事件检测

1. 入侵检测系统(IDS)

推荐工具： - OSSEC：开源主机入侵检测系统 - Snort：网络入侵检测系统 - Suricata：高性能IDS/IPS

配置要点：

# OSSEC安装示例
yum install -y ossec-hids-server
/var/ossec/bin/manage_agents
/var/ossec/bin/ossec-control start

2. 文件完整性监控

推荐工具： - AIDE (Advanced Intrusion Detection Environment) - Tripwire：商业级文件完整性检查工具

AIDE配置示例：

yum install -y aide
aide --init
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
# 定期检查
aide --check

3. 异常登录监控

关键措施： - 监控/var/log/secure中的SSH登录记录 - 使用last和lastb命令检查登录历史 - 配置fail2ban防止暴力破解

fail2ban安装配置：

yum install -y fail2ban
systemctl enable fail2ban
systemctl start fail2ban

三、安全事件响应流程

1. 事件分类与优先级

2. 应急响应步骤

1. 隔离系统：断开网络连接或关闭受影响服务
2. 保留证据：创建系统快照，备份相关日志
3. 分析原因：检查日志、异常进程、网络连接
4. 修复问题：打补丁、删除恶意文件、重置密码
5. 恢复服务：验证安全后重新上线
6. 事后分析：编写事件报告，改进防护措施

3. 常用调查命令

# 检查网络连接
netstat -tulnp
ss -tulnp

# 检查运行进程
ps auxf
top -c

# 检查计划任务
crontab -l
ls -la /etc/cron*

# 检查SUID文件
find / -perm -4000 -type f -exec ls -la {} \;

# 检查最近修改的文件
find / -mtime -1 -type f -exec ls -la {} \;

四、预防性措施

1. 系统加固

• 定期更新系统：yum update -y
• 最小化安装原则，移除不需要的服务
• 配置防火墙规则： bash systemctl enable firewalld systemctl start firewalld firewall-cmd --permanent --add-service=ssh firewall-cmd --reload

2. 定期审计

• 使用OpenSCAP进行合规性检查
• 定期进行漏洞扫描（如Nessus、OpenVAS）
• 每季度进行安全演练

3. 备份策略

• 实施3-2-1备份规则（3份副本，2种介质，1份离线）
• 定期测试备份恢复流程
• 关键配置文件备份示例： bash tar -czvf /backups/etc_backup_$(date +%F).tar.gz /etc

五、自动化与告警

1. 告警配置

• 设置阈值告警（如CPU>90%持续5分钟）
• 配置多通道通知（邮件、短信、Slack等）
• 重要告警应触发电话通知

2. 自动化响应

• 使用Ansible/Puppet进行自动化修复
• 编写脚本自动封禁可疑IP
• 自动生成安全报告

通过以上措施的综合实施，可以大幅提升CentOS服务器的安全性，并确保在安全事件发生时能够及时发现、快速响应。