网络安全防护手册：从基线到应急响应-源码库

网络安全防护手册：从基线到应急响应

作为一名在安全领域摸爬滚打多年的工程师，我深知网络安全不是一蹴而就的工程，而是一个从基础加固到应急响应的完整闭环。今天我就结合自己的实战经验，带大家走完这个完整流程，分享一些真正落地有效的防护方案。

1. 安全基线配置：筑起第一道防线

记得我刚入行时，总想着用各种高级工具，后来才发现基础配置才是最重要的。系统安全基线就是我们的“地基”。

以Linux服务器为例，我通常会从这几个方面入手：

SSH安全加固 – 这是最容易被攻击的入口：

# 禁止root直接登录
sed -i 's/#PermitRootLogin yes/PermitRootLogin no/' /etc/ssh/sshd_config

# 修改默认端口
sed -i 's/#Port 22/Port 56234/' /etc/ssh/sshd_config

# 限制失败登录次数
echo "MaxAuthTries 3" >> /etc/ssh/sshd_config

# 重启服务生效
systemctl restart sshd

防火墙配置 – 我习惯用ufw来简化操作：

# 启用防火墙
ufw enable

# 只开放必要端口
ufw allow 56234/tcp  # SSH新端口
ufw allow 80/tcp     # HTTP
ufw allow 443/tcp    # HTTPS

# 查看规则
ufw status verbose

踩坑提示：修改SSH端口前一定要确保新端口已经开放，否则可能把自己锁在服务器外面！

2. 持续监控与入侵检测

配置好基线只是开始，真正的挑战在于持续监控。我推荐使用Fail2ban来防御暴力破解：

# 安装Fail2ban
apt-get install fail2ban

# 配置SSH防护
cat > /etc/fail2ban/jail.local << EOF
[sshd]
enabled = true
port = 56234
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
bantime = 3600
EOF

systemctl restart fail2ban

对于Web应用，我还会部署文件完整性监控。这个简单的脚本帮我多次发现了可疑文件：

#!/bin/bash
# 文件完整性监控脚本
WEB_DIR="/var/www/html"
BASELINE_FILE="/root/web_baseline.md5"

# 生成基线
if [ ! -f "$BASELINE_FILE" ]; then
    find $WEB_DIR -type f -exec md5sum {} ; > $BASELINE_FILE
    echo "基线文件已生成"
    exit 0
fi

# 对比检查
find $WEB_DIR -type f -exec md5sum {} ; | diff $BASELINE_FILE -
if [ $? -ne 0 ]; then
    echo "警告：检测到文件变更！" | mail -s "安全警报" admin@company.com
fi

3. 应急响应：当攻击发生时

去年我们遭遇过一次勒索软件攻击，正是完善的应急响应流程让我们快速恢复了业务。

第一步：隔离受影响系统

# 立即断开网络
ifdown eth0

# 或者使用防火墙阻断
iptables -A INPUT -s 0.0.0.0/0 -j DROP
iptables -A OUTPUT -d 0.0.0.0/0 -j DROP

第二步：取证分析

我通常会快速检查这些关键点：

# 检查异常进程
ps aux | grep -E '(crypt|miner|httpd)'

# 查看网络连接
netstat -tunlp | grep -v 127.0.0.1

# 检查计划任务
crontab -l
ls -la /etc/cron.*

第三步：恢复与加固

从备份恢复数据后，我会重新审视安全配置，修补发现的漏洞：

# 更新系统补丁
apt-get update && apt-get upgrade

# 检查可疑用户
awk -F: '($3 == 0) {print $1}' /etc/passwd

# 重新生成SSH密钥
ssh-keygen -t rsa -b 4096 -f /etc/ssh/ssh_host_rsa_key