67、Linux 系统安全技术全解析

Linux 系统安全技术全解析

1. 用户账户监控

用户账户常常是系统遭受恶意攻击的突破口。攻击者可能通过获取现有账户的非授权访问权、创建虚假新账户或留下账户以便后续访问等方式来攻击系统。因此，对用户账户进行监控至关重要。

1.1 检测伪造新账户和权限提升

未经过适当授权创建的账户应被视为伪造账户。此外，以任何方式修改账户，使其获得不同的非授权用户标识（UID）号码或添加非授权的组成员身份，都属于权限提升的一种形式。监控 /etc/passwd 和 /etc/group 文件可以帮助发现这些潜在的安全漏洞。

可以使用审计守护进程（audit daemon）来监控这两个文件。审计守护进程是一个功能强大的审计工具，它允许你选择要跟踪的系统事件并记录它们，还具备报告功能。

要开始审计 /etc/passwd 和 /etc/group 文件，需要使用 auditctl 命令，启动此过程至少需要两个选项：
- -w filename ：对指定文件设置监控。审计守护进程通过文件的索引节点（inode）号来跟踪文件。inode 号是一种数据结构，包含有关文件的信息，包括其位置。
- -p trigger(s) ：如果指定文件发生以下任何一种访问类型（r=读，w=写，x=执行，a=属性更改），则触发审计记录。

以下是使用 auditctl 命令对 /etc/pas