开启全方位安全巡检

概述

一般在运维过程中有非常重要的工作就是对系统，软件，包括日志等一系列的状态进行巡检，传统方案往往是通过工程师编写 shell（bash）脚本进行类似的工作，通过一些远程的脚本管理工具实现集群的管理。但这种方法实际上非常危险，由于系统巡检操作存在权限过高的问题，往往使用 root 方式运行，一旦恶意脚本执行，后果不堪设想。实际情况中存在两种恶意脚本，一种是恶意命令，如 rm -rf，另外一种是进行数据偷窃，如将数据通过网络 IO 泄露给外部。

“观测云” 支持您通过「安全巡检」对系统，容器，网络，安全，包括日志等一系列的状态进行巡检，以一种新型的安全脚本方式（限制命令执行，限制本地 IO，限制网络 IO）来保证所有的行为安全可控。

前置条件

1. 您需要先创建一个【 观测云账号 】

   https://auth.guance.com

   
   

2. 安装 DataKit 【DataKit 安装文档 】

   https://www.yuque.com/dataflux/datakit/datakit-how-to

   
   

方法/步骤

Step1：安装 Scheck

通过 DataKit 安装 Security Checker

$ sudo datakit --install scheck

注意：安装完后，Security Checker 默认将数据发送给 DataKit :9529/v1/write/security 接口。

Step2: 配置数据采集

• 进入默认安装目录 /usr/local/scheck，打开配置文件 scheck.conf，配置文件采用 TOML 格式，说明如下：

rule_dir = '/usr/local/scheck/rules.d'# ##(必选) 将检测结果采集到哪里，支持本地文件或http(s)链接# ##本地文件时需要使用前缀 file://， 例：file:///your/file/path# ##远程server，例：http(s)://your.urloutput = ''# ##(可选) 程序本身的日志配置disable_log = false #是否禁用日志log = '/usr/local/scheck/log'log_level = 'info'

• 配置完成后，重启服务即可生效。

systemctl restart scheck

Step3: 配置检测规则

检测规则放在规则目录中：由配置文件中 rule_dir 指定。每项规则对应两个文件：

1. 脚本文件：使用 Lua 语言来编写，必须以 .lua 为后缀名。

2. 清单文件：使用 TOML 格式，必须以 .manifest 为后缀名。

通过添加/修改清单文件以及 Lua 代码，即可完成检测规则的配置。

注意：

• 脚本文件和清单文件必须同名。

• 添加/修改规则后不需要重启服务，10 秒后规则将会自动生效。

Step4: 查看安装状态以及 datakit 运行状态

• 查看 scheck 状态

$systemctl status scheck● scheck.service - security checker with lua script   Loaded: loaded (/usr/lib/systemd/system/scheck.service; enabled; vendor preset: disabled)   Active: active (running) since 六 2021-07-03 00:13:15 CST; 2 days ago Main PID: 15337 (scheck)    Tasks: 10   Memory: 12.4M   CGroup: /system.slice/scheck.service           └─15337 /usr/local/scheck/scheck -config /usr/local/scheck/scheck.conf

• 查看 datakit 状态

$ systemctl status datakit● datakit.service - Collects data and upload it to DataFlux.   Loaded: loaded (/etc/systemd/system/datakit.service; enabled; vendor preset: disabled)   Active: active (running) since 六 2021-07-03 01:07:44 CST; 2 days ago Main PID: 27371 (datakit)    Tasks: 9   Memory: 29.6M   CGroup: /system.slice/datakit.service           └─27371 /usr/local/datakit/datakit

Step5: 登录观测云查看安全巡检记录

• 选择左侧栏-安全巡检 查看巡检内容

进阶参考

安全可观测

“观测云” 为用户提供了一键发现恶意程序、系统漏洞、安全缺陷的安全巡检功能。即通过「安全巡检」，您不但可以及时的发现主机、系统、容器、网络等存在的漏洞和异常，还可以发现一些日常管理问题（例如：将数据通过网络 IO 泄露给外部）

模拟黑客入侵操作

• 登录主机终端

• 模拟添加用户和添加 crontab 记录

useradd xlsmcrontab -e

登录观测云查看安全巡检信息并分析

可以看到 12/19 18:52 添加了一个用户，遇到这个问题，我们该如何处理？

点击记录查看建议进行主机补救

在主机控制台执行命令：userdel xlsm