2022护网行动 - 云服务器主机安全补充方案

Posted 2022-05-26 小哈里

文章目录

• • • 1、什么是护网行动
    • 2、云安全角度
    • • 2.1 服务器监控 - 判断是否被病毒注入
      • 2.2 主机安全&云盾 - 进行隔离查杀与漏洞检测
      • 2.3 云防火墙 - 氪金全防护
      • 2.4 手动切断 - 阻断特定IP&端口等
      • 2.5 快照&镜像 - 数据备份与恢复
    • 3、主机安全角度
    • • 3.1 Linux常用主机安全命令
      • 3.2 如何查看是否是恶意 IP
      • 3.3 宝塔安全策略

1、什么是护网行动

护网行动的背景

• 护网行动是以公安部牵头的，用以评估企事业单位的网络安全的活动。具体实践中，公安部会组织攻防两方，进攻方会在一个月内对防守方发动网络攻击，检测出防守方（企事业单位）存在的安全漏洞。通过与进攻方的对抗，企事业单位网络、系统以及设备等的安全能力会大大提高。

• 当前，我国网络安全形势严峻，“为了防止羊被偷，我们得在羊被偷之前就开始识别风险、加固羊圈建设”。护网行动就是在这样的背景下开展的。

• 护网行动每年举办一次，政府单位、事业单位、国企单位、名企单位等都必须参与！

两种安全角色

• 红队安全检测方，（甲方）对公司的各个业务进行测试，与蓝队进行对抗
  红队是一种全范围的多层攻击模拟，旨在衡量公司的人员和网络、应用程序和物理安全控制，用以抵御现实对手的攻击。
  在红队交战期间，训练有素的安全顾问会制定攻击方案，以揭示潜在的物理、硬件、软件和人为漏洞。红队的参与也为坏的行为者和恶意内部人员提供了机会来破坏公司的系统和网络，或者损坏其数据。
• 蓝队防御用户方，（甲方）为公司的业务提供积极防御，构建企业安全架构等
  蓝队面临的更大挑战，是在不对用户造成太多限制的情况下，发现可被利用的漏洞，保护自己的领域。

2、云安全角度

2.1 服务器监控 - 判断是否被病毒注入

在云服务器&轻量级服务器的控制台， 对于指定服务器观察监控信息，手动判断。

• 可以通过观察监控，是否有CPU长期占用100%判断是否被注入挖矿
  
  

2.2 主机安全&云盾 - 进行隔离查杀与漏洞检测

• 在主机安全控制台，及时察觉病毒入侵并隔离和查杀。
  
  

• 还有漏洞检测功能，不过一般收费，100/月左右
  
  

2.3 云防火墙 - 氪金全防护

• 对于处理不掉的漏洞（如果短期内无法从服务上进行修复，比如springboot代码里修改等，那么可以用云防火墙进行物理隔绝）
  

• 缺点是收费较贵，各个云厂家普遍都是最低2800一个月，最高高达2w/月，有些甚至6月起售
  
  

2.4 手动切断 - 阻断特定IP&端口等

• 在服务器管理的安全组规则中，手动限制指定IP不能访问所有端口。
  

• 添加地域和时间访问限制
  比如限制只有浙江能访问
  限制白天工作时间能访问等

2.5 快照&镜像 - 数据备份与恢复

• 创建一个快照，支持服务器出现问题时快速回滚
  

3、主机安全角度

3.1 Linux常用主机安全命令

占CPU的程序命令
ps aux | head -1;ps aux|sort -k3nr|head -5
top -c
which top | xargs stat
ps -ef -p PID

结束进程
kill -l PID
kill 9 PID

查看外部ip
netstat -ano

统计已经建立连接的
netstat -na|grep ESTABLISHED|wc -l

对连接的IP按连接数量进行排序
netstat -ntu | awk 'print $5' | cut -d: -f1 | sort | uniq -c | sort -n

要禁止一个IP，使用下面这条命令：
iptables -A OUTPUT -d 223.104.165.238 -j DROP

要解封一个IP，使用下面这条命令：
iptables -D INPUT -s ***.***.***.*** -j DROP

三步踢人如下：

1、先列出当前系统已经登录的用户
w

2、找到要KILL掉的用户进程
ps aux |grep @pts

3、kill用户进程
kill 22380

3.2 如何查看是否是恶意 IP

• 微步在线情报社区
  https://x.threatbook.cn/

3.3 宝塔安全策略

• 更换端口并添加安全入口