开启全方位安全巡检
概述
一般在运维过程中有非常重要的工作就是对系统,软件,包括日志等一系列的状态进行巡检,传统方案往往是通过工程师编写 shell(bash)脚本进行类似的工作,通过一些远程的脚本管理工具实现集群的管理。但这种方法实际上非常危险,由于系统巡检操作存在权限过高的问题,往往使用 root 方式运行,一旦恶意脚本执行,后果不堪设想。实际情况中存在两种恶意脚本,一种是恶意命令,如 rm -rf,另外一种是进行数据偷窃,如将数据通过网络 IO 泄露给外部。
“观测云” 支持您通过「安全巡检」对系统,容器,网络,安全,包括日志等一系列的状态进行巡检,以一种新型的安全脚本方式(限制命令执行,限制本地 IO,限制网络 IO)来保证所有的行为安全可控。
前置条件
您需要先创建一个【 观测云账号 】
https://auth.guance.com
安装 DataKit 【DataKit 安装文档 】
https://www.yuque.com/dataflux/datakit/datakit-how-to
方法/步骤
Step1:安装 Scheck
通过 DataKit 安装 Security Checker
注意:安装完后,Security Checker 默认将数据发送给 DataKit :9529/v1/write/security
接口。
Step2: 配置数据采集
进入默认安装目录
/usr/local/scheck
,打开配置文件scheck.conf
,配置文件采用 TOML 格式,说明如下:
配置完成后,重启服务即可生效。
Step3: 配置检测规则
检测规则放在规则目录中:由配置文件中 rule_dir
指定。每项规则对应两个文件:
脚本文件:使用 Lua 语言来编写,必须以
.lua
为后缀名。清单文件:使用 TOML 格式,必须以
.manifest
为后缀名。
通过添加/修改清单文件以及 Lua 代码,即可完成检测规则的配置。
注意:
脚本文件和清单文件必须同名。
添加/修改规则后不需要重启服务,10 秒后规则将会自动生效。
Step4: 查看安装状态以及 datakit 运行状态
查看 scheck 状态
查看 datakit 状态
Step5: 登录观测云查看安全巡检记录
选择左侧栏-安全巡检 查看巡检内容
进阶参考
安全可观测
“观测云” 为用户提供了一键发现恶意程序、系统漏洞、安全缺陷的安全巡检功能。即通过「安全巡检」,您不但可以及时的发现主机、系统、容器、网络等存在的漏洞和异常,还可以发现一些日常管理问题(例如:将数据通过网络 IO 泄露给外部)
模拟黑客入侵操作
登录主机终端
模拟添加用户和添加 crontab 记录
登录观测云查看安全巡检信息并分析
可以看到 12/19 18:52 添加了一个用户,遇到这个问题,我们该如何处理?
点击记录查看建议进行主机补救
在主机控制台执行命令:userdel xlsm
评论