基于主机的安全与审计
通过关注攻击者在系统本身留下的证据,学习 Linux 环境下的主机安全与审计。网络流量可以显示「发生了什么」,但主机痕迹(host artifacts)能够解释「发生了什么改变」、「谁访问了它」以及「入侵是如何展开的」。本课程将教你如何利用文件完整性监控、auditd 以及系统日志分析来检测篡改行为、调查可疑活动并加固 Linux 主机。
为什么这很重要
攻击者很少会原封不动地离开系统。他们会修改文件、对服务进行身份验证、提升权限并与敏感目录进行交互。如果你能在主机层面监控这些操作,就能捕捉到那些在纯网络工具中无法清晰呈现的活动。
本课程专为需要获得 Linux 实际可见性的防御者设计。你将建立可信文件的基准,配置底层审计规则,解析操作日志,并将这些信号整合到真实的加固与调查工作流程中。
你将学到什么
- 创建并验证文件完整性基准,以检测未经授权的更改。
- 配置
auditd规则,以监控敏感文件、命令和目录。 - 解析 Linux 身份验证和系统日志,识别暴力破解尝试和权限滥用。
- 将完整性数据、审计数据和日志数据关联起来,进行统一的主机调查。
- 在真实的系统加固场景中应用多种主机控制措施。
课程路线图
- 文件完整性监控 (FIM):使用 AIDE 建立可信基准,并识别未经授权的文件修改。
- 使用 Auditd 进行系统审计:配置内核级审计规则,以高精度追踪敏感操作。
- 系统日志分析:审查
auth.log和syslog,识别登录失败、sudo滥用以及可疑的访问模式。 - 主机安全加固:结合完整性监控与审计,调查并遏制模拟的内部威胁。
课程受众
- 需要增强主机级调查技能的 SOC 分析师和防御者。
- 希望掌握实用审计与加固技术的 Linux 管理员。
- 从数据包分析转向端点和服务器安全的学习者。
学习成果
完成本课程后,你将能够监控关键 Linux 主机的篡改行为,调查可疑访问,并为真实的生产环境构建更强大的审计覆盖体系。
