线上服务器安全检查

最近巡查线上服务器，简单记录过程

一、防火墙
iptabels确保打开状态，确保防火墙没有漏洞

二、登陆信息
1、正常登陆的账号，看是否有其他非法账号登陆
管理账号是否在常用地方登陆（公司的出口IP，VPNIP）
last
who /var/log/wtmp #可以吧时间转换为友好时间格式

2、查看登陆失败的信息
lastb
看到一些尝试登陆账号

有一些尝试的信息 说明iptables没开 或者没有禁止非授权的IP访问

3、查看ssh 安装日志
/var/log/secure
看失败的
pam_unix(sshd:auth): authentication failure
这一步就是lastb，其实只要防护墙限制了ssh的来源IP身下的失败都是自己输入密码错误引起的
grep 'uthentication failue' /var/log/secure*

验证成功的信息，关注有哪些用户，这些用户的来源IP
使用key的
Accepted publickey for mhgmt from 184.173.170.162 port 53638 ssh2
grep 'Accepted publickey' /var/log/secure.1 |awk '{print $9,$11}'

使用密码
Accepted password for root from 218.213.228.186 port 62362 ssh2
查看一下 使用密码登陆的用户和来源IP
# grep 'Accepted password' /var/log/secure.1 |awk '{print $9,$11}'
root 218.213.228.186
root 218.213.228.186

日志收集起来 可以分析导入数据库，然后做展示以及报警用途
报警 可以严格 用户-IP 匹配的情况，如果不是这个IP就报错

三、查看进程和连接状态
一般查看进程不容易看出问题
可以查看连接状态 看是否开了异常端口 有异常连接
netstat -antlp
netstat -antlp |grep ESTABLISHED
netstat -antlp |grep LISTEN

如果有异常程序开了异常端口，则全系统查找异常程序，或者根据程序里路劲查找
一般情况下 异常的程序都会放在隐藏目录下， 目录名有空格 等 需要转义才能进入程序目录

四、问题
在这过程中发现研发团队使用oracle这个账号,提醒不要使用弱密码，1-2个月修改一次
另外有一个zabbix应该是nologin的，这里居然有shell权限，也是另外做监控研发团队安装zabbix脚本添加的
zabbix:x:501:502::/home/zabbix:/bin/bash
$ passwd -l zabbix
$ su - zabbix
Password:
su: incorrect password
锁住账号 然后使用普通账号切换，无法切换
再观察zabbix抓取数据是否正常，正常就没问题了