攻防演练,作为蓝方,centos的服务器 怎么检查文件是不是被修改或者被拷贝

最新推荐文章于 2024-08-17 11:00:42 发布
原创 最新推荐文章于 2024-08-17 11:00:42 发布 · 914 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#服务器 #centos #linux

本文介绍了在CentOS服务器上通过Auditd进行文件操作审计,AIDE检查文件完整性,实施最小权限原则,以及利用网络监控工具防止未经授权的文件修改或拷贝的策略。

在基于CentOS的服务器上,作为蓝方进行攻防演练时,检查文件是否被修改或拷贝可以采用以下方法:

1. 安装并配置 Auditd 系统

Auditd 是 Linux 下的一个用来审计系统使用情况的工具,可以用来监控对文件的访问、修改和拷贝操作。

  • 安装 Auditd:

    sudo yum install audit -y

  • 配置 Auditd 监控特定文件:
    您可以通过添加规则来监控文件的读取、写入和执行操作。例如,如果您想监控 /etc/passwd 文件的所有读写操作,可以添加如下规则:

    sudo auditctl -w /etc/passwd -p warx -k password-file

  • 查看审计日志:

    sudo ausearch -k password-file

2. 使用 AIDE (Advanced Intrusion Detection Environment)

AIDE 是一个文件和目录完整性检查器,它可以帮助你检测文件系统上的更改。

  • 安装 AIDE:

    sudo yum install aide -y

  • 初始化 AIDE 数据库:
    在你系统初始安全状态下,生成一个基础数据库:

    sudo aide --init

    这会创建一个名为 /var/lib/aide/aide.db.new.gz 的数据库文件。

  • 将新数据库移动到正式位置:

    sudo mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

  • 定期检查文件系统变化:

    sudo aide --check

    这条命令会与之前的数据库状态比较,显示所有更改。

3. 实施最小权限原则

确保使用文件权限和访问控制列表(ACLs)来限制对敏感文件的访问。这可以通过 chmod, chown, 和 setfacl 命令进行设置。

4. 定期检查系统和文件日志

通过查看系统日志(如 /var/log/secure/var/log/messages)和其他应用日志来发现可疑活动。

5. 网络监控和行为分析

  • 使用如 Wireshark 或 tcpdump 这样的工具来捕获和分析数据包,以侦测非常规数据流动。
  • 配置防火墙和其他网络监控工具来控制和监视出入网络流量。

通过结合这些工具和策略,您可以有效地监控 CentOS 服务器上的关键文件是否遭到未授权的修改或拷贝。

攻防演练蓝方值守阶段经验技巧
HBohan的博客
09-16 1856
随着国家对网络安全的建设不断加强,各地组织的攻防演练行动会越来越多。今天来分享蓝方在正式防护阶段时,需要重点加强防护过程中的安全保障工作,从攻击监测、攻击分析、攻击阻断、漏洞修复和追踪溯源等方面全面加强演习过程的安全防护效果。 【网安学习攻略】 全面监控 安全事件实时监测 借助安全设备(全流量分析设备、Web防火墙、IDS、 IPS、 数据库审计等)开展安全事件实时监测,对发现的攻击行为进行确认,详细记录攻击相关数据,为后续处置工作开展提供信息。 综合研判 安全事件综合研判 确认方式:攻击方式确认、攻击路
攻防演练过程中防守方必备的关键安全设备
maoguan121的博客
09-29 2557
部署安全设备及系统是防守工作的必要条件之一,以下通过边界 防御设备、安全检测设备、流量监控设备、终端防护设备、威胁情报 系统这五方面帮助读者了解、熟悉红队常用的关键安全设备。
centos查看文件修改历史_CentOS7 - 审计日志,看谁动了我的文件
weixin_29343807的博客
01-12 2693
前言在一些比较重要的服务器上面,我们可能需要记录文件的变化或者执行了什么命令,这时候就会用到audit审计日志。auditdauditd是Linux审计系统中用户空间的一个组件,负责将审计记录写到磁盘中。在CentOS7上默认就会有安装这个服务。如果被卸载,可以直接使用yum进行安装:yum -y install audit auditd-libs相关命令1、auditctl : 即时控制审计...
centos系统中,我的主页文档不希望被别人恶意修改,该如何实现?
qq_31397725的博客
03-13 1027
【代码】centos系统中,我的主页文档不希望被别人恶意修改,该如何实现?
攻防演练,作为蓝方,ubuntu22.04的服务器 怎么检查文件是不是修改或者拷贝
keyboard专栏
04-18 662
通过这些方法的组合使用,可以有效地帮助你监控和检测Ubuntu 22.04服务器上的文件是否遭到未授权的修改拷贝。使用工具如 Wireshark 或 tcpdump 来监控网络流量,特别关注异常的数据传输模式,这可能表明文件拷贝到外部系统。是 Linux 的一个核心组件,用于审计系统的活动,包括文件访问和修改。的相关活动,包括文件是否被读取或写入,从而判断文件是否可能被拷贝。AIDE 是一个文件和目录完整性检查器,用于检测文件内容的更改。,以便察觉任何不寻常的文件访问模式或外部连接。
linux版宝塔enable-php-xx.conf被篡改了,无法修改怎么解决
weixin_41952801的博客
08-17 382
用ssl进入对应目录,一般情况宝塔的对应目录是:cd /www/server/nginx/conf。修改文件后,为了安全起见还要把属性加回去。然后文件就可以删除或者修改了。
怎样组织一次攻防演练比赛- 前期准备阶段
m0_73803866的博客
10-01 2178
二是人员 准备,包括攻击队、防守队的人员选拔与审核,队伍组建等。在演练过程中,针对参演单位失陷的业务系统,组织攻击队和参 演单位进行应急事件处理,目的是通过应急演练,快速恢复业务和检 验参演单位的应急响应机制与流程,利用实战演练环境将演练实战 化,提升参演单位的应急响应能力和完善应急响应机制。5)整改建议:实战攻防演练工作完成后,演练组织方组织专业技 术人员和专家,汇总、分析所有攻击数据,进行充分、全面的复盘分 析,总结经验教训,并对不足之处给出合理整改建议,为防守队提供 具有针对性的详细过程。
网络攻防演练.网络安全.学习
助力开发者进阶为高效技术管理者,记录沉淀打造可复用的工程方法论体系
07-07 5047
网络安全攻防演练,是以不限制手段、路径,进行获取权限并攻陷指定靶机为目的实战攻防演练。通过真实网络中的攻防演练,采用不限攻击路径和攻击手段的方式,最大限度地模拟真实的网络攻击,以检验防守方的安全防护和应急处置能力,锻炼应急响应队伍,提升网络安全的综合防控能力。
攻防演练2021纪实与总结
随便记记笔记
04-27 4428
2020年在蓝方,银行系某单位负责某厂商设备的监控 2021年在红方 不管对于蓝方还是红方,资产梳理都十分重要,资产梳理对蓝方来说可以快速的定位到发生问题的位置,及时响应,对红方有助于理解蓝方的组织结构,网络结构,找到关键点 蓝方 监控面临的很大的问题就是日至太多 某正部级单位, 通过某直属单位的OA系统,一个致远OA,1day没有补,权限绕过+后台任意文件上传拿了root的shell 然后通过数据库配置文件,拿到OA的mysql数据库的用户名密码 内网扫了一下有一些ssh和mysql的弱口令,还有redi
怎样验证软件是否可信?是否被篡改
IT_Lifeng的博客
03-23 1745
证书除了可以用来验证某个网站,还可以用来验证某个文件是否被篡改。软件开发者需要购买代码签名证书给发布的软件签名,来验证软件代码的来源与完整性。后面专门告诉大家如何验证文件的数字签名。就拿 Windows 的例子来说吧。 比如,俺手头有一个 Firefox 的安装文件(带有数字签名)。当俺查看该文件的属性,会看到如下的界面。眼神好的同学,会注意到到上面有个“数字签名”的标签页。如果没有出现这个标签
防止Linux系统中重要文件修改(chattr)
SERE0211的博客
05-27 1743
防止Linux系统中重要文件修改,请使用chattr命令 以下为我常用锁定关键文件 添加文件锁定 chattr +i /etc/fstab chattr +i /etc/passwd chattr +i /etc/shadow chattr +i /etc/group chattr +i /etc/groupshadow chattr +i /etc/rc.d/rc.local chattr +i /etc/profile chattr +i /etc/sysconfig/iptables chattr
文件篡改系统ossec搭建
weixin_33700350的博客
10-10 314
OSSEC简要介绍: OSSEC 是一款开源的***检测系统,包括了日志分析,全面检测,rook-kit检测。作为一款HIDS,OSSEC应该被安装在一台实施监控的系统中。另外有时候不需要安装完全版本的OSSEC,如果有多台电脑都安装了OSSEC,那么就可以采用客户端/服务器模式来运行。客户机通过客户端程序将数据发回到服务器端进行分析。在一台电脑上对多个系统进行监控对于...
linux 目录防篡改,一种基于Linux虚拟文件系统的防篡改方法及系统的制作方法
weixin_28285943的博客
04-30 696
一种基于Linux虚拟文件系统的防篡改方法及系统的制作方法【技术领域】[0001]本发明涉及文件防护技术领域,特别涉及一种基于Linux虚拟文件系统的防篡改方法及系统。【背景技术】[0002]防篡改技术是文件防护、系统安全、入侵检测等领域中的关键技术内容,其功能是保护特定文件文件目录的前后一致性。防篡改技术广泛应用于各类文件系统中,随着虚拟文件系统的发展,防篡改技术也开始在Linux虚拟文件系统...
如何查看一个命令是否被修改
weixin_34032792的博客
11-26 393
如何查看一个命令是否被修改过 当某些情况下,我们在使用命令是会发现此命令不会到达遇期的效果,让我们百思不得其解。其实,此时你应该确认自己在使用此命令没有错误的情况下,可能是你的命令被某些不怀好意的人修改了。那么此时我们应该如何确认呢? 1、首先你应该检查你此命令是否有别名,如果有查看此别名是否正确。 2、检查此命令是否被修改 例如:检查kill命令查看ki...
linux 目录防篡改,linux 下同步方案以及站点文件的防篡改(伪)
weixin_39611072的博客
04-30 243
linux 下同步方案以及站点文件的防篡改(伪)通道: 使用ssh协议通信,利用ssh的 authorized_keys 特性,使用ssh-keygen生成不带有密码的密钥。执行: crond来设定执行周期注: 下面 local 指本地,server指同步的服务器,pwd 指当前目录路径安全方面, 使用普通非登录(nologin)用户进行数据的交换。静态文件同步 - rsync视频文件和图片文件...
linux 目录防篡改,Linux服务器下如何创建文件篡改规则
weixin_39767386的博客
04-30 390
我的服务器里有十几个网站,过不了一二天每个网站的首页都会被修改,加入一段隐藏框架的代码,这段代码连接的文件是有毒的.我在服务器上查了很多次都没有发现病毒.怎么清除啊…随着信息技术的飞速发展,信息安全事件已经深入到人们的方方面面.其中恶意代码是最重要的安全威胁之一,恶意代码要传播,必须要进行几个特定的操作以最典型的病毒和木马为例,其在传播的过程中,必然要改写其他可执行文件,以达到感染的目的。因此,如...
一次Linux服务器被入侵和删除木马程序的经历
热门推荐
烂笔头的博客
02-06 1万+
本文出自 “小小水滴” 博客,请务必保留此出处http://wangzan18.blog.51cto.com/8021085/1740113 一、背景     晚上看到有台服务器流量跑的很高,明显和平常不一样,流量达到了800Mbps,第一感觉应该是中木马了,被人当做肉鸡了,在大量发包。     我们的服务器为了最好性能,防火墙(iptables)什么的都没有开启,但是服务器前面
应急响应-文件痕迹排查
懂进攻知防守
11-21 1474
在应急响应排查的过程中,由于大部分的恶意软件、木马、后门等都会在文件维度上留下痕迹,因此对文件痕迹的排查必不可少。时间点查找应急响应事件发生后,需要先确认事件发生的时间点,然后排查时间点前后的文件变动情况,从而缩小排查的范围。通过列出攻击日期内变动的文件,可以发现相关的恶意软件。系统中的恶意文件存在特定的设置、和关键字信息等。
网络安全攻防演练红方
最新发布
01-04
### 网络安全攻防演练中的红方角色 在网络攻防演练中,红方扮演的是攻击者的角色[^4]。主要职责在于模拟真实的黑客行为模式和技术手法,旨在检测并暴露蓝方(防守方)信息系统内的潜在弱点。 #### 红方的主要任务包括但不限于: - **多维度攻击**:对目标系统实施综合性的进攻操作,涉及物理层到应用层面的不同层次。 - **社会工程学利用**:评估内部员工的安全意识水平,比如钓鱼邮件测试等方法验证人员对于未知威胁源的警惕程度。 - **漏洞挖掘与利用**:寻找未被修复的安全缺陷,并尝试以此为基础进一步深入渗透至核心资源位置。 --- ### 策略部署 为了有效地完成上述使命,红队通常采用如下几种典型策略: - **情报收集阶段**:广泛搜集有关于目标环境的信息资料,如公开可用的数据、社交网络上的线索乃至企业官网发布的新闻公告等内容,这些都可能成为后续行动的重要依据。 - **工具准备**:选用合适的自动化扫描器、脚本编写框架以及其他辅助性程序库来加速整个过程的发展进度,提高工作效率的同时也降低了人为失误的风险概率。 - **持续改进机制**:基于每次实战经验教训不断调整优化自身的战术布局,确保能够紧跟最新趋势变化而做出快速响应措施。 ```bash # 使用Nmap进行端口和服务探测 nmap -A target_ip_address ``` --- ### 实践技巧分享 当面对具体的技术难题时,掌握特定的操作技能显得尤为重要。以下是几个实用的小贴士供参考: - **弱密码破解**:如果遇到数据库管理系统存在简单易猜解密钥的情况,则可以通过暴力枚举法或是字典匹配的方式迅速定位正确组合[^5]。 ```sql -- 尝试连接PostgreSQL实例 psql -h localhost -U username dbname -W password_guess ``` - **权限提升**:一旦成功登录某台主机之后,下一步便是设法扩大影响力范围直至获得超级管理员身份,这往往涉及到内核级编程接口调用或者是配置文件篡改等方面的知识积累。 - **横向移动**:借助已经掌控的部分节点作为跳板去访问其他关联资产,形成连锁反应式的扩散态势,从而达到全面接管的目的。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

MonkeyKing.sun

对你有帮助的话,可以打赏

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值