🎯 實戰目標:
-
理解“安全運維”與傳統運維的本質區別
-
掌握安全運維的核心目標與價值定位
-
建立以“持續可控、可視可審、自動響應”為核心的思維框架
📖 背景知識:
? 傳統運維 vs 安全運維
-
傳統運維關注:系統穩定、業務上線、故障排查等“可用性”層面
-
安全運維則關注:如何在對抗環境下保障系統和數據的完整性、安全性、可恢復性
-
安全運維不僅是防守,更是“持續檢測+快速響應+威脅感知+痕跡追蹤”的閉環機制
? 安全運維的工作核心:
| 模塊 | 目標簡述 |
|---|---|
| 資產梳理 | 弄清楚“你有什么”,掌握資產清單 |
| 安全加固 | 主機/賬號/服務/網絡邊界的最小化暴露 |
| 日志監控 | 從“事后分析”轉為“實時告警+行為關聯分析” |
| 漏洞管理 | 跟進漏洞生命周期:收集、識別、驗證、修復 |
| 告警響應 | 實施應急響應、阻斷攻擊、日志溯源、復盤分析 |
| 安全制度與流程 | 實現標準化SOP和行為可審計、結果可量化 |
🔧 實用命令與實操思維:
🛠?以下命令與操作建議常作為藍隊實戰中的最小落地項:
1)系統資源審計命令:
uname -a # 操作系統內核版本
uptime # 系統運行時間、負載情況
df -h # 磁盤使用情況
free -m # 內存使用情況
2)資產發現(快速定位潛在風險點):
ip a # 查看網絡接口
netstat -tulnp | grep LISTEN # 查看監聽端口
ps aux --sort=-%mem | head # 查看高內存進程
3)賬號檢查:
cat /etc/passwd | awk -F: '{if($3>=1000) print $1}' # 普通賬號
sudo -l # 當前用戶的sudo權限
lastlog # 查看賬號最近登錄情況
🧠 實戰案例:一次“看似正常”的賬號暴力行為識別
背景:
某云主機定期宕機,初步排查無病毒無異常日志。
行為追溯:
grep "Failed password" /var/log/secure | awk '{print $(NF-3)}' | sort | uniq -c | sort -nr | head
分析結果:
發現某IP在3天內進行上萬次SSH登錄嘗試(典型暴力破解)。進一步調查發現:
-
使用
useradd命令悄悄創建了一個賬號 -
登錄后執行
wget下載挖礦程序 -
掛載
crontab定時重啟自身,躲避檢測
應對措施:
-
加固SSH(詳見第二章)
-
日志實時推送(搭配fail2ban/rsyslog)
-
緊急拉黑源IP+通報安全事件
📝 輸出成果:
| 項 | 內容 |
|---|---|
| 輸出文檔 | 《安全運維目標與策略基線定義文檔》一份(含資產清單模板) |
| 能力掌握 | 熟悉基礎系統安全信息收集、初步行為異常判斷、事件線索歸納 |
| 實操成果 | 能獨立使用命令行快速定位資源、賬號、端口及異常痕跡 |
| 思維建立 | 安全運維是一種“可持續安全”的工程,而不是一次性部署的任務 |
📌 小貼士(Tips):
安全運維不是“技術加固”而已,更是流程、工具、制度、思維的組合工程。推薦從每一次告警、每一次改動中積累經驗,并建立標準化的流程文檔與自動化腳本。
