开启全方位安全巡检

于 2022-06-15 21:00:00 发布
阅读量235 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 可观测实践 文章标签: 安全 linux 可观测性 云计算 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/DataFlux/article/details/125299843
本文介绍了如何使用观测云进行安全巡检,以避免使用危险的shell脚本导致的安全风险。通过安装和配置DataKit与Scheck,用户可以利用安全脚本进行系统状态检查。观测云提供安全可控的检测规则,支持实时查看和分析主机、容器等的安全状态,帮助及时发现并处理潜在威胁,如恶意命令执行和数据泄露。此外,还提供了模拟黑客入侵操作的场景,以展示如何应对和解决安全问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一般在运维过程中有非常重要的工作就是对系统,软件,包括日志等一系列的状态进行巡检,传统方案往往是通过工程师编写shell(bash)脚本进行类似的工作,通过一些远程的脚本管理工具实现集群的管理。但这种方法实际上非常危险,由于系统巡检操作存在权限过高的问题,往往使用root 方式运行,一旦恶意脚本执行,后果不堪设想。实际情况中存在两种恶意脚本,一种是恶意命令,如 rm -rf,另外一种是进行数据偷窃,如将数据通过网络 IO 泄露给外部。

观测云” 支持您通过「安全巡检」对系统,容器,网络,安全,包括日志等一系列的状态进行巡检,以一种新型的安全脚本方式(限制命令执行,限制本地IO,限制网络IO)来保证所有的行为安全可控。

前置条件

方法步骤

Step1:安装 Scheck

通过DataKit 安装Security Checker

$ sudo datakit --install scheck

注意:安装完后,Security Checker 默认将数据发送给 DataKit :9529/v1/write/security 接口。

Step2: 配置数据采集

  • 进入默认安装目录 /usr/local/scheck,打开配置文件 scheck.conf,配置文件采用 TOML 格式,说明如下:
rule_dir = '/usr/local/scheck/rules.d'

# ##(必选) 将检测结果采集到哪里,支持本地文件或http(s)链接
# ##本地文件时需要使用前缀 file://, 例:file:///your/file/path
# ##远程server,例:http(s)://your.url
output = ''

# ##(可选) 程序本身的日志配置
disable_log = false #是否禁用日志
log = '/usr/local/scheck/log'
log_level = 'info'
  • 配置完成后,重启服务即可生效。
systemctl restart scheck

Step3: 配置检测规则

检测规则放在规则目录中:由配置文件中 rule_dir 指定。每项规则对应两个文件:

  1. 脚本文件:使用 Lua 语言来编写,必须以 .lua 为后缀名。
  2. 清单文件:使用 TOML 格式,必须以 .manifest 为后缀名,详情

通过添加/修改清单文件以及 Lua 代码,即可完成检测规则的配置。

注意

  • 脚本文件和清单文件必须同名。
  • 添加/修改规则后不需要重启服务,10 秒后规则将会自动生效。

Step4: 查看安装状态以及datakit运行状态

  • 查看scheck 状态
$systemctl status scheck
● scheck.service - security checker with lua script
   Loaded: loaded (/usr/lib/systemd/system/scheck.service; enabled; vendor preset: disabled)
   Active: active (running) since 六 2021-07-03 00:13:15 CST; 2 days ago
 Main PID: 15337 (scheck)
    Tasks: 10
   Memory: 12.4M
   CGroup: /system.slice/scheck.service
           └─15337 /usr/local/scheck/scheck -config /usr/local/scheck/scheck.conf

  • 查看datakit 状态
$ systemctl status datakit
● datakit.service - Collects data and upload it to DataFlux.
   Loaded: loaded (/etc/systemd/system/datakit.service; enabled; vendor preset: disabled)
   Active: active (running) since 六 2021-07-03 01:07:44 CST; 2 days ago
 Main PID: 27371 (datakit)
    Tasks: 9
   Memory: 29.6M
   CGroup: /system.slice/datakit.service
           └─27371 /usr/local/datakit/datakit

Step5: 登录观测云查看安全巡检记录

  • 选择左侧栏-安全巡检 查看巡检内容

进阶参考

安全可观测

“观测云” 为用户提供了一键发现恶意程序、系统漏洞、安全缺陷的安全巡检功能。即通过「安全巡检」,您不但可以及时的发现主机、系统、容器、网络等存在的漏洞和异常,还可以发现一些日常管理问题(例如:将数据通过网络 IO 泄露给外部)

模拟黑客入侵操作

  • 登录主机终端
  • 模拟添加用户和添加crontab记录
useradd xlsm
crontab -e

登录观测云查看安全巡检信息并分析

可以看到12/19 18:52 添加了一个用户,遇到这个问题,我们该如何处理?

点击记录查看建议进行主机补救

在主机控制台执行命令:

userdel xlsm

博客
AWS RDS PostgreSQL可观测性最佳实践
07-14 272
本文介绍观测云如何集成 AWS RDS PostgreSQL,帮助用户全面了解数据库的运行状态,从而优化数据库性能并确保其在高并发场景下的高效运行。
博客
OpenLLMetry 助力 LLM 应用实现可观测性
07-11 731
本文介绍观测云通过集成 OpenLLMetry,实时采集和分析大语言模型(LLM)的链路信息,帮助用户监控模型的运行状态,优化模型的性能和资源利用率,同时快速定位和解决潜在问题,从而提升大语言模型在生产环境中的稳定性和效率。
博客
达梦数据库监控观测最佳实践
07-09 1028
本文介绍如何通过观测云采集达梦数据库指标数据,帮助用户快速发现和定位问题,保障系统的稳定性。
博客
Pipeline 引用外部数据源最佳实践
07-07 1007
本文介绍如何通过观测云的数据处理工具 Pipeline,整合外部数据源数据,进行大规模数据分析和特征提取, 预测潜在的安全风险,提前完善安全防御体系,提升企业整体的网络安全防护能力。
博客
观测云 × AWS SSO:权限治理可观测实践
07-02 927
本文介绍如何 AWS 用户如何通过 SSO 方式登录观测云,释放团队效能,实现权限配置简易化和使用便捷化。
博客
Python Flask 容器化应用链路可观测
07-01 977
本文通过 Python Flask 应用容器化部署示例,介绍如何通过观测云进行链路追踪,以实现对应用的性能监控和问题定位。
博客
华为JDC登场!观测云带来下一代监控观测平台的AI实战解法
06-30 265
摘要:6月20日,观测云CEO蒋烁淼在华为数据中心沙龙发表演讲《AI大模型时代的数据中心观测变革》,提出AI技术将推动数据中心从人工观测转向机器辅助观测。他分析了传统监控系统在复杂业务环境下暴露的四大痛点,并指出观测云通过构建"五大统一"底座能力(采集器、数据模型等),开发ObsyAI智能体实现智能运维闭环。同时,观测云还利用自身可观测能力为LLM应用提供全链路可视化支持。通过与华为基础设施的协同,观测云正打造高可靠的一体化可观测方案,推动企业智能运维认知升级。
博客
ClickHouse 可观测性最佳实践
06-26 716
本文介绍如何通过观测云采集并监控 ClickHouse 指标数据,帮助用户故障排查、系统优化和成本优化等。
博客
观测云产品更新 | 外部数据源、日志、监控、事件、基础设施等
06-26 718
本期更新主要分为观测云更新、观测云部署版更新、集成更新、DataKit 更新等内容。
博客
观测云正式上线 Google Cloud Marketplace,全面覆盖全球主流云平台!
06-25 278
继成功入驻 AWS,Azure,阿里云,华为云,腾讯云,火山引擎等云平台后,观测云现已正式登陆 Google Cloud Marketplace,全面覆盖全球主流公有云平台。
博客
AWS S3 可观测性最佳实践
06-24 1054
本文介绍如何通过观测云采集和监控 AWS S3 的指标数据,实现对 S3 存储桶的实时性能监控、资源使用分析以及安全事件的可视化,帮助用户快速定位问题、优化成本,并确保数据的高可用性和安全性。
博客
从“烟囱式监控”到观测云平台:2025 亚马逊云科技峰会专访
06-20 800
在 2025 年亚马逊云科技中国峰会上,观测云技术总监黄小龙带来了主题为《下一代智能可观测性平台技术实践》的重磅分享。
博客
Trino 可观测性最佳实践
06-20 632
本文介绍如何通过观测云 DataKit 采集并监控 Trino 的关键性能指标,及时发现并解决潜在的性能瓶颈和故障,从而确保 Trino 集群的高效运行和稳定性。
博客
AWS ELB 可观测性最佳实践
06-16 871
本文介绍如何通过观测云采集和监控 AWS ELB 性能指标,帮助用户快速定位故障点、优化资源配置,并根据流量变化调整负载均衡策略,从而保障业务的稳定运行和用户体验。
博客
Ingress-nginx 接入可观测性最佳实践
06-13 1019
本文介绍如何通过观测云采集和监控 Ingress-nginx 的链路、指标和日志,确保 Kubernetes 集群中 Ingress 控制器的稳定性和性能。
博客
观测云,全球领先的监控观测平台亮相亚马逊云科技中国峰会!
06-11 965
观测云提供一站式可观测性解决方案,从 APM 到 RUM,从基础设施到网络性能,从日志检索到可用性监控,所有数据流被统一接入平台,彼此之间不再是孤岛。
博客
Traefik 可观测性最佳实践
06-11 995
本文介绍如何通过观测云采集和监控 Traefik 指标数据,帮助用户洞察和掌控各服务的访问流量与响应情况,迅速察觉并处理潜在问题,确保整个服务访问的稳定运行。
博客
AWS EKS 集群日志上报观测云实践
06-09 1189
本文介绍 AWS 集群日志如何通过转发函数上报 DataKit,并上报观测云。
博客
观测云OaC能力升级,通过Terraform实现配置闭环
06-06 1033
本文介绍如何通过观测云 Terraform 导出现有配置并修改后导入,实现全流程闭环管理。
博客
HikariCP 可观测性最佳实践
06-04 1289
本文介绍如何通过观测云采集 HikariCP 指标数据,帮助开发者和运维人员监控和优化数据库连接池的性能,确保连接池在高并发场景下高效运行,同时避免资源浪费和性能瓶颈。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值