安全 on Liangweidong's blog

Linux 安全：挖矿病毒清理、c3Pool 木马与 GVM 漏洞扫描实战

Mon, 15 Apr 2024 00:00:00 +0800

一、为什么是 2024 年这一份

2024 年这个时间点，Linux 主机安全进入"专业化"阶段：

挖矿病毒（xmrig / c3Pool / kinsing）仍是企业最常见的入侵后果
EDR 终端（Endpoint Detection and Response）成为云主机标配
OpenVAS 在 2017 改名 GVM（Greenbone Vulnerability Management），2024 已是 23.x
合规要求（等保 2.0、ISO 27001）要求定期漏洞扫描
xmrig 6.x 的对抗特征（chattr +i 防删）成为应急手册标配

这一篇覆盖挖矿病毒应急、c3Pool 木马清理、EDR 部署、GVM 漏洞扫描安装与升级、漏扫告警——一个"安全运营"工程师的实战手册。

阅读建议：本文是"应急 + 体系建设"双重性质——先应急（挖矿病毒清理），再体系（漏洞扫描）。

二、挖矿病毒应急：c3Pool 木马清理

2.1 现象与定位

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


# 1. top 找高 CPU 进程
top
# 看到 xmrig、kdevtmpfsi、.service 等非常规进程

# 2. 找进程 exe 路径
ls -l /proc/<pid>
# /proc/<pid>/exe -> /usr/local/lib/<挖矿二进制>

# 3. 看进程工作目录
ls -l /proc/<pid>/cwd
# 通常在 /tmp 或 /dev/shm 这种"隐蔽"位置

2.2 文件无法删除：`chattr +i`

挖矿木马常 chattr +i 锁住自己的二进制、SSH 公钥、cron 文件等，让 rm 删不掉。

1
2
3
4
5
6
7
8


# 查属性
lsattr 文件名

# 加锁（之后 rm 删不掉）
chattr -R +i ./test*

# 解除（运行完就能删）
chattr -R -i ./test*

2.3 c3Pool 矿池连接特征

c3Pool 是公开矿池（c3pool.com），挖矿木马的"标配"会连接 c3pool.com：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


# 1. 看进程网络连接
ss -tnp | grep <pid>
# 看是否有到矿池 IP 的 TCP 连接

# 2. 查 DNS 解析记录
cat /etc/resolv.conf
# 木马经常改 DNS 指向自建 DNS

# 3. 查 hosts
cat /etc/hosts
# 木马经常把 c3pool.com、pool.minexmr.com 指向 0.0.0.0

xmrig 配置：挖矿配置一般在 ~/.config/xmrig/config.json，里面能找到矿池地址、钱包地址、CPU 占用等。

2.4 完整清理流程

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48


# 1. 杀进程
ps -ef | grep xmrig | grep -v grep | awk '{print $2}' | xargs kill -9
pkill -9 xmrig

# 2. 解锁
find / -name "*.xmrig*" -exec chattr -i {} \;
find / -path "*/xmrig/*" -exec chattr -R -i {} \;
chattr -R -i /etc/cron.d/
chattr -R -i /etc/cron.daily/
chattr -R -i /var/spool/cron/

# 3. 删文件
rm -rf /usr/local/lib/xmrig
rm -rf /tmp/.xmrig
rm -rf /dev/shm/.xmrig

# 4. 清 cron
# 全局搜索定时任务
find / -name "cron*" -type d

# 看每个 cron 文件内容
for f in /var/spool/cron/* /etc/crontab /etc/cron.d/* /etc/cron.daily/* /etc/cron.hourly/* /etc/cron.monthly/* /etc/cron.weekly/*; do
 echo "=== $f ==="
 cat "$f" 2>/dev/null
done

# 找可疑条目（含 curl / wget / base64 / sh -c 的）
grep -rE "(curl|wget|base64|sh -c)" /var/spool/cron/ /etc/cron.d/ /etc/cron.daily/ /etc/cron.hourly/ 2>/dev/null

# 重启 crond
systemctl restart crond

# 5. 查 SSH 攻击者后门
# 看 authorized_keys
find / -name "authorized_keys" -ls 2>/dev/null
cat ~/.ssh/authorized_keys
# 找陌生的公钥

# 6. 查新增 sudo 用户
awk -F ":" '$3==0{print $1}' /etc/passwd

# 7. 改所有用户密码
passwd root
passwd <其他用户>

# 8. 查进程还在不在
top
ps -ef | grep -E "(xmrig|kdevtmpfsi|minerd)"

2.5 xmrig 自检配置

xmrig 官方有"配置向导"：https://xmrig.com/wizard

不要去生成实际挖矿配置——这个工具只是让你理解挖矿配置长什么样，方便在应急时识别。

三、EDR 终端部署

3.1 简介

EDR（Endpoint Detection and Response）通过 agent 收集主机行为日志，实时检测异常，是现代主机的"安全底座"。

3.2 命令行部署

1
2
3
4
5


wget --no-check-certificate https://<EDR管理平台IP>:4430/download_installer_linux.php \
 -O linux_edr_installer.tar.gz

tar -xzvf linux_edr_installer.tar.gz
./agent_installer.sh -c

端口：默认 4430。

3.3 下载器部署

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17


# 1. 把安装包拷贝到终端
scp linux_edr_installer.tar.gz root@<host>:/tmp/

# 2. 终端解压
cd /tmp
tar -xzvf linux_edr_installer.tar.gz

# 3. 安装
cd /tmp
./agent_installer.sh # 同目录有 manager_info.txt 时
# 或
./agent_installer.sh -f # 强制安装
./agent_installer.sh -h www.mgr.com # 自定义域名
./agent_installer.sh -h www.mgr.com -p 443 -d /root/edr/ -f # 完全自定义

# 4. 验证
./agent_installer.sh --help

1
2


# 4. agent 启动后会自动连接 EDR 管理中心
systemctl status edr-agent

四、OpenVAS / GVM 漏洞扫描

4.1 简介

OpenVAS（Open Vulnerability Assessment Scanner）2017 年改名 GVM（Greenbone Vulnerability Management），是开源漏洞扫描器的事实标准。

特点：

用户界面简单友好
内置测试库，每天更新
扫描目标设备的所有软件版本
匹配漏洞库后直接提示可能的漏洞

4.2 GVM 23.x 时代组件

gvmd —— Manager
gsad —— Web 前端（Greenbone Security Assistant）
openvas / ospd-openvas —— Scanner
notus —— 产品元数据
redis-server —— Scanner 缓存
PostgreSQL —— 元数据库
gvm-tools —— 命令行工具

4.3 安装（Debian/Ubuntu）

1
2
3


apt update
apt install gvm -y
# 依赖：greenbone-security-assistant gsad gvm-tools libmicrohttpd12t64

4.4 初始化

1
2
3
4
5
6
7
8
9


# 初始化（下载漏洞库，时间比较长）
gvm-setup

# 检查安装结果
gvm-check-setup
# 如果检测失败按提示执行修复命令

# GVM 的 Redis 不是开机启动
systemctl enable redis-server@openvas.service

4.5 升级漏洞库

1
2
3
4
5
6
7


# 旧命令（已废弃）
gvm-feed-update
# > This script is now deprecated
# > Please use 'sudo greenbone-feed-sync' instead

# 新命令
sudo greenbone-feed-sync

4.6 启动

1
2


gvm-start
# > GVM services are already running

4.7 修改 admin 密码

1
2
3
4
5
6
7


# 改密码为自定义值
runuser -u _gvm -- gvmd --user=admin --new-password='<your-password>'

# 第一次安装时会有初始化密码输出
# [+] Done
# [*] Please note the password for the admin user
# [*] User created with password '...uuid...'

4.8 创建新用户

1
2


# admin 填要创建的用户名，最后的 password 填密码
runuser -u _gvm -- gvmd --create-user=<username> --new-password='<password>'

4.9 修改 Web UI 监听地址

默认 gsad 只监听 127.0.0.1:9392，要对外暴露：

1
2
3
4
5
6
7
8
9


vim /usr/lib/systemd/system/gsad.service

# 把
# ExecStart=/usr/local/sbin/gsad --foreground --listen=127.0.0.1 --port=9392
# 改为
ExecStart=/usr/local/sbin/gsad --foreground --listen=0.0.0.0 --port=443

sudo systemctl daemon-reload
sudo systemctl restart gsad

4.10 查日志

1

tail -f /var/log/gvm/gvmd.log

4.11 典型 `gvm-check-setup` 输出（23.11）

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17


gvm-check-setup 23.11.0
 Test completeness and readiness of GVM-23.11.0
Step 1: Checking OpenVAS (Scanner)...
 OK: OpenVAS Scanner is present in version 23.0.1.
 OK: Notus Scanner is present in version 22.6.3.
 OK: Server CA Certificate is present.
 OK: redis-server is present.
 OK: scanner (db_address setting) is configured properly.
 OK: _gvm owns all files in /lib/openvas/plugins.
 OK: NVT collection contains 91760 NVTs.
 OK: The notus directory contains 464 NVTs.
Step 2: Checking GVMD Manager ...
 OK: GVM Manager (gvmd) is present in version 23.5.2.
Step 3: Checking Certificates ...
 OK: GVM client certificate is valid.
 OK: Your GVM certificate infrastructure passed validation.
Step 4: Checking data ...

关键指标：91760 NVTs（漏洞特征库）、464 notus NVTs（产品元数据）是 2024 时代正常范围。GVM 23.5.2 是 2024 上半年的版本。

五、漏扫告警体系建设

5.1 关键指标

指标	含义
CVSS 评分	通用漏洞评分系统，0-10 越高越严重
高危 / 中危 / 低危	业务常用的粗粒度分类
CVE 编号	公开漏洞编号
影响资产	漏洞影响的具体资产范围

5.2 集成方式

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12


# 方式一：GVM 自带的 Web UI
# 浏览器访问 https://<gvm-host>:443
# 登录后：Configuration → Targets → New Target

# 方式二：Python gvm-tools
pip install gvm-tools
gvm-cli --gmp-username admin --gmp-password <password> \
 tls --hostname <gvm-host> --port 443 \
 --xml '<get_tasks/>'

# 方式三：REST API（gmp 22.4+）
# 见 https://greenbone.github.io/docs/

5.3 与企业 SIEM 集成

把 GVM 扫描结果导入 SIEM（Splunk / ELK / QRadar）：

1
2
3
4
5


# 1. GVM 导出 CSV
# Web UI → Reports → Export → CSV

# 2. 用 logstash / filebeat 采集
# 3. 用 SPL / DSL 写告警规则

六、安全基线检查清单（2024 等保 2.0 视角）

检查项	命令 / 工具
操作系统补丁	`uname -r` 比对最新安全公告
特权账号	`awk -F":" '$3==0{print $1}' /etc/passwd`
弱口令	`john --wordlist=pass.txt /etc/shadow`（破解测试）
SSH 安全	`sshd -T
防火墙	`iptables -L -n` / `ufw status`
入侵检测	AIDE / Tripwire / OSSEC
病毒查杀	chkrootkit / rkhunter / clamav
漏洞扫描	GVM / Nessus / Qualys
终端 EDR	部署 EDR agent
日志审计	auditd / rsyslog → SIEM
备份	至少 3-2-1 策略

七、前置知识 / 下一步

想看 chkrootkit / rkhunter / clamav 详细用法 → 翻独立文章
想看 SIEM 集成（ELK / Loki）→ 翻独立文章
想看 GVM 高级配置（任务、报告、调度）→ 翻独立文章
想看 AIDE / Tripwire 主机入侵检测 → 翻独立文章
想看 SELinux / AppArmor 强制访问控制 → 翻独立文章

八、参考资源

GVM 官方文档：https://greenbone.github.io/docs/
Greenbone 社区版（Greenbone CE）：https://greenbone.github.io/docs/greenbone-ce-22.04/
xmrig 官方（仅作识别参考）：https://xmrig.com/wizard
挖矿木马家族（360 报告）：https://www.360.cn/n/11701.html
国家信息安全漏洞库（CNNVD）：http://www.cnnvd.org.cn/
国家信息安全漏洞共享平台（CNVD）：https://www.cnvd.org.cn/
CVE 官方：https://cve.mitre.org/
NVD：https://nvd.nist.gov/
MITRE ATT&CK：https://attack.mitre.org/

OpenVAS/GVM 漏洞扫描：从原生安装到 Docker 化部署

Sat, 15 Apr 2023 00:00:00 +0800

一、为什么 2023 年要聊 OpenVAS / GVM

OpenVAS（Open Vulnerability Assessment Scanner）是开源界最老牌的网络漏洞扫描器之一，2017 年改名 GVM（Greenbone Vulnerability Management），由 Greenbone 维护。GVM 21.4+ 开始把组件名从 openvas 改成 gvm，但核心扫描引擎还是 OpenVAS。

2022-04 发布的 GVM 22.4 是当前主流生产版本——本篇示例基于这个版本。gvm-check-setup 跑出来的就是：

1

It seems like your GVM-23.11.0 installation is OK.

本文写于 2023-04-15。示例基于 GVM 22.04（Ubuntu 22.04 LTS）+ 9 万+ NVT 漏洞库。Greenbone 在 2023-2024 年陆续把 gvm-setup 改造成 greenbone-feed-sync，新版本会越来越 Docker 化。

二、GVM 是什么、能做什么

核心能力：

漏洞扫描：扫描目标主机的开放端口、运行服务、CVE 漏洞，9 万+ NVT（Network Vulnerability Tests）覆盖
合规检查：PCI DSS、HIPAA、CIS 等基线
CVE 库自动更新：默认每天从 Greenbone 社区 feed 同步

典型使用场景：

内部网络定期漏扫（季度/半年）
重要业务上线前的安全验收
等保 2.0 二级 / 三级测评的漏洞证据
攻防演练 / 红蓝对抗的攻击面梳理

架构（多个 daemon 协作）：

组件	作用
`gvmd`	主管理进程，API 服务
`gsad`	Web UI（Greenbone Security Assistant）
`openvas-scanner` / `ospd-openvas`	实际扫描引擎
`pg-gvm`	PostgreSQL 后端
`redis-server`	任务队列
`notus-scanner`	轻量存活/服务检测

三、方式一：apt 一键安装（Ubuntu 22.04）

3.1 装 GVM 包

1
2
3


sudo apt update
sudo apt install gvm -y
# 依赖：greenbone-security-assistant gsad gvm-tools libmicrohttpd12t64

3.2 初始化

1
2


sudo gvm-setup
# 初始化要下载漏洞库，时间 30-90 分钟（看带宽）

初始化成功后会输出默认 admin 密码（一串 UUID）：

1

[*] User created with password '3ffd4efb-d181-4201-ae4d-5126584f5461'.

一定要记下来，或者立即改密：

1

sudo runuser -u _gvm -- gvmd --user=admin --new-password=123456

3.3 检查

1

sudo gvm-check-setup

如果中途某一步失败，按提示执行修复命令。最常见的失败是 redis-server 没启动：

1

sudo systemctl enable --now redis-server@openvas.service

3.4 同步漏洞库

1
2
3


sudo gvm-feed-update
# 较新的 GVM 版本会提示用：
# sudo greenbone-feed-sync

gvm-feed-update 已 deprecated，新版本 GVM（22.4+）推荐 greenbone-feed-sync。

3.5 启停

1
2


sudo gvm-start # 启动
sudo gvm-stop # 停止

检查 GVM 服务状态：
1
systemctl status ospd-openvas gvmd gsad

3.6 改 Web UI 监听地址

默认只监听 127.0.0.1:9392，远程访问需要改 0.0.0.0:443：

1
2
3
4
5


sudo systemctl edit gsad.service
# 写入：
# [Service]
# ExecStart=
# ExecStart=/usr/local/sbin/gsad --foreground --listen=0.0.0.0 --port=443

或直接改 service 文件：

1
2
3
4
5
6


sudo vi /usr/lib/systemd/system/gsad.service
# -ExecStart=/usr/local/sbin/gsad --foreground --listen=127.0.0.1 --port=9392
# +ExecStart=/usr/local/sbin/gsad --foreground --listen=0.0.0.0 --port=443

sudo systemctl daemon-reload
sudo systemctl restart gsad

3.7 加新用户

1

sudo runuser -u _gvm -- gvmd --create-user=<新用户名> --new-password=<密码>

3.8 日志

1

sudo tail -f /var/log/gvm/gvmd.log

四、方式二：docker-compose 集群化部署

生产环境强烈推荐 Docker 部署——方便升级、数据持久化、跟其他服务（反向代理、监控）集成。

4.1 拉取 yml 和镜像

1
2
3
4
5
6


# 拉 docker-compose.yml（22.4 官方）
curl -f -L https://greenbone.github.io/docs/latest/_static/docker-compose-22.4.yml \
 -o docker-compose.yml

# 拉镜像（约 3GB）
docker-compose -f docker-compose.yml -p greenbone-community-edition pull

镜像清单（约 18 个容器）：

镜像	用途
`greenbone/scap-data`	SCAP 数据
`greenbone/vulnerability-tests`	NVT 漏洞测试
`greenbone/data-objects`	数据对象
`greenbone/report-formats`	报告格式
`greenbone/notus-data`	notus 漏洞数据
`greenbone/cert-bund-data`	CERT-Bund 漏洞
`greenbone/dfn-cert-data`	DFN-CERT 漏洞
`greenbone/redis-server`	任务队列
`greenbone/pg-gvm`	PostgreSQL 后端
`greenbone/gvmd`	主管理
`greenbone/gsa`	Web UI
`greenbone/ospd-openvas`	扫描引擎
`greenbone/openvas-scanner`	扫描 daemon
`greenbone/gvm-tools`	命令行工具
`greenbone/gpg-data`	GPG 签名

4.2 启动

1

docker-compose -f docker-compose.yml -p greenbone-community-edition up -d

第一次启动要等所有 feed 同步（5-30 分钟），看日志：

1

docker-compose -f docker-compose.yml -p greenbone-community-edition logs -f

4.3 Web UI 访问

默认 https://localhost:9392（docker-compose yml 里绑定了 127.0.0.1:9392:80）。

默认 admin 密码：admin——第一次登录必须立即改密：

1
2


docker-compose -f docker-compose.yml -p greenbone-community-edition \
 exec -u gvmd gvmd gvmd --user=admin --new-password=123456

4.4 改远程访问

docker-compose.yml 里：

1
2
3
4
5
6


services:
 gsa:
 ports:
 - 9392:80 # 改成 0.0.0.0:9392:80
 # 或者
 - 443:80 # 标准 HTTPS 端口

坑提醒：把 9392 直接暴露到公网极不安全——GVM 有 RCE 历史漏洞。必须走 Nginx 反代 + Basic Auth + IP 白名单。

4.5 删除环境（危险操作）

1
2


docker-compose -f docker-compose.yml -p greenbone-community-edition down -v
# -v 会删所有 volume，漏洞库、扫描结果、用户数据全清

五、gvm-check-setup 详解

跑完 gvm-setup / docker 启动后，建议跑一次：

1

sudo gvm-check-setup

典型输出（成功）：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17


gvm-check-setup 23.11.0
 Test completeness and readiness of GVM-23.11.0
Step 1: Checking OpenVAS (Scanner)...
 OK: OpenVAS Scanner is present in version 23.0.1.
 OK: Notus Scanner is present in version 22.6.3.
 OK: Server CA Certificate is present as /var/lib/gvm/CA/servercert.pem.
 OK: _gvm owns all files in /var/lib/openvas/gnupg
 OK: redis-server is present.
 OK: scanner (db_address setting) is configured properly using the redis-server socket
 OK: the mqtt_server_uri is defined in /etc/openvas/openvas.conf
 OK: _gvm owns all files in /var/lib/openvas/plugins
 OK: NVT collection in /var/lib/openvas/plugins contains 91760 NVTs.
 OK: The notus directory /var/lib/notus/products contains 464 NVTs.
Step 2: Checking GVMD Manager ...
 OK: GVM Manager (gvmd) is present in version 23.5.2.
...
It seems like your GVM-23.11.0 installation is OK.

NVT 数量是核心指标——9 万+ 才算健康，低于 5 万说明漏洞库同步失败。

六、典型任务：扫描一个网段

Configuration → Targets → New Target
- Name: 内网服务器网段
- Hosts: 192.168.1.0/24
- Port List: All IANA Assigned TCP and UDP
- Alive Test: Consider Alive
Configuration → Scan Configs → 选一个基线
- Full and fast：常用
- Base：快，弱扫
Scans → Tasks → New Task
- Name: 季度漏扫-2023Q2
- Target: 内网服务器网段
- Scanner: OpenVAS Default
- Scan Config: Full and fast
Save → Start
扫描结果：Dashboard / Reports

坑提醒：

第一次跑完整扫描很慢（24-48 小时，9 万 NVT × 254 个 IP）

大规模扫描分批做，避免被目标网络的 IDS/IPS 拉黑

重要业务先打招呼再扫——避免触发告警 / 业务中断

七、生产环境建议

7.1 走 Nginx 反代

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22


server {
 listen 443 ssl;
 server_name gvm.example.com;

 ssl_certificate /etc/letsencrypt/live/gvm.example.com/fullchain.pem;
 ssl_certificate_key /etc/letsencrypt/live/gvm.example.com/privkey.pem;

 # Basic Auth 二层密码
 auth_basic "GVM Admin";
 auth_basic_user_file /etc/nginx/.htpasswd;

 # IP 白名单
 allow 10.0.0.0/8;
 allow 192.168.0.0/16;
 deny all;

 location / {
 proxy_pass http://127.0.0.1:9392;
 proxy_set_header Host $host;
 proxy_set_header X-Real-IP $remote_addr;
 }
}

7.2 走 LDAP/AD 集成

GVM 支持 LDAP 认证（22.4+），企业内网可对接 AD。

7.3 漏洞库同步策略

1
2
3


# 每天凌晨同步
crontab -e
0 3 * * * /usr/bin/greenbone-feed-sync

7.4 备份

apt 方式：备份 /var/lib/gvm/ /var/lib/openvas/ /etc/gvm/
docker 方式：备份所有命名 volume（docker volume ls）

八、典型坑速查

现象	原因	处理
`gvm-check-setup` Step 1 失败 NVT 数量 < 5 万	漏洞库没同步完	重跑 `greenbone-feed-sync`
9392 端口访问不到	默认只监听 127.0.0.1	改 `gsad.service` 监听 0.0.0.0
扫描任务卡在 “Requested”	扫描引擎没启动	`systemctl start ospd-openvas`
忘记 admin 默认密码	UUID 在 `gvm-setup` 输出里	`runuser -u _gvm -- gvmd --user=admin --new-password=...`
扫描器报 “Host not alive”	目标屏蔽 ICMP	关掉 Alive Test 或改用 TCP ping
漏洞库同步巨慢	没配代理	配 `greenbone-feed-sync` 走 `HTTPS_PROXY` 环境变量

九、2024+ 视角补充

本文写于 2023-04，2024-2026 期间 GVM / OpenVAS 关键演进：

GVM 23.x / 24.x（2024-2025）：notus-scanner 重写（Rust 重写后性能 5x）；ospd-openvas 升级；GSA Web UI 全面重构（React 18 + TypeScript）；PG 后端 PostgreSQL 15+
Greenbone Community Edition (GCE) 23.04+：每月发版（vs 老版本季度发版）；greenbone-feed-sync 替代老的 gvm-feed-update（已 2024 全面 EOL）
Greenbone Enterprise Appliance (GEA)：商业版 2024 强化 SaaS 化部署（cloud.greenbone.net），不再需要本地硬件
NVT 漏洞库 2024-2026：9 万+ → 11 万+ NVT（漏洞库持续增长）；每天同步 Greenbone Community Feed
漏洞扫描生态（2024+ 视角）：
- Nuclei 3.x（2024-2026）：ProjectDiscovery 出品——YAML 模板定义扫描，社区模板市场（5000+ 模板），云原生漏洞扫描首选
- Trivy 0.50+（2024-2025）：容器 / IaC / 镜像 / 文件系统 一站式扫描，K8s 集成完善
- Snyk / Aikido（2024）：AI 辅助漏洞评估（判断是否真影响项目）
- Tenable Nessus 10.7+（2025）：AI 漏洞优先级排序；云 connector（AWS / Azure / GCP）
- Qualys VMDR 4.x（2024）：云原生扫描；资产清单 / 风险评分
AI 驱动的漏洞扫描（2024+ 趋势）：用 LLM 做漏洞优先级排序（“哪些漏洞该先修”）——传统按 CVSS 排不科学，AI 结合业务上下文判断更准
合规基线（2024+ 视角）：CIS Benchmarks v8.0、NIST 800-53 Rev 5、等保 2.0 三级——GVM 内置基线持续更新

实战建议（2025-2026 视角）：

传统漏洞扫描 → GVM 24.x Community Edition（仍是开源首选）
容器 / 云原生 → Trivy + Nuclei 黄金组合
企业 / 合规 → Tenable Nessus Pro / Qualys VMDR（商业付费）
AI 辅助 → Snyk / Aikido（2024+ 趋势，AI 优先级排序）
免费 / 个人 → Trivy + Nuclei（开源 + 模板市场）

十、下一步

想要更现代化的漏洞管理 → 上 Greenbone Enterprise（商业版）/ Tenable Nessus（闭源老大）/ Qualys VMDR
想做基线合规扫描 → GVM 内置 CIS / PCI DSS Level 1 基线
想做大规模分布式扫描 → Greenbone Enterprise Appliance 多节点集群
想做自定义漏洞检测 → 写 NASL（NVT 脚本语言）
想要容器 / 云原生漏洞扫描 → Trivy + Nuclei 黄金组合

参考资料

Linux 安全加固：EDR 部署、OpenSSH 9.8 升级与挖矿病毒排查

Sun, 15 May 2022 00:00:00 +0800

一、为什么 2022 年要谈 Linux 安全加固

2020-2022 年是国内挖矿木马最高峰的两年——Log4j2（2021-12 CVE-2021-44228）、Confluence（2021-2022）、Spring4Shell（2022-03 CVE-2022-22965）接连爆出，攻击者用漏洞横向打穿企业内网后植入 c3Pool / MoneroOcean 等矿池挖矿代理。本文整理三件套：

EDR Agent 一键部署——商用 EDR（终端检测与响应）平台让运维少背锅
OpenSSH 9.8 升级——修 CVE-2020-15778（OpenSSH 8.2 scp 命令注入）等高危漏洞
挖矿病毒应急排查——c3Pool 类挖矿木马的发现、定位、清理流程

本文写于 2022-05-15。OpenSSH 9.8 是 2024-07 发布的（本文示例为 9.8p1），但编译升级流程对所有 OpenSSH 大版本升级都适用。

二、EDR Agent 一键部署

EDR（Endpoint Detection and Response）平台——奇安信天擎、深信服 EDR、亚信安全、青云 Radware 等——都提供 Linux 客户端（agent）。商业 EDR 的标准装法是从管理控制台下载安装包，到终端一键部署。

2.1 命令行部署（标准动作）

1
2
3
4


wget --no-check-certificate https://<管理平台IP>:4430/download_installer_linux.php \
 -O linux_edr_installer.tar.gz \
&& tar -xzvf linux_edr_installer.tar.gz \
&& ./agent_installer.sh -c

4430 是 EDR 管理平台默认端口
-c：无参安装，从同目录的 manager_info.txt 读取管理平台地址

2.2 下载器部署（手动拷贝安装包）

登录管理控制台，下载 Linux 安装包
拷贝到服务器（scp / ftp / U 盘）
解压：
1

tar -xzvf linux_edr_installer.tar.gz

装：

1
2
3
4
5
6
7


# 无参安装（用同目录 manager_info.txt）
./agent_installer.sh

# 自定义安装
./agent_installer.sh -f
./agent_installer.sh -h <mgr-domain-or-ip>
./agent_installer.sh -h <mgr-host> -p 443 -d /root/edr/ -f

参数列表：

参数	作用
`-h host`	自定义管理平台域名 / IP
`-p port`	自定义管理平台端口（默认 4430）
`-d dir`	自定义安装路径（绝对路径）
`-f`	强制安装（覆盖已有）
`--help`	帮助

装完 agent 会自动连管理平台，进程通常叫 edr_agent / qax-anti-virus 之类。

2.3 验证

1
2
3
4
5
6
7
8


ps -ef | grep -i agent
# 看 EDR 进程是否在

netstat -antp | grep <管理平台IP>
# 看是否建立了到管理平台的连接

tail -f /var/log/edr/edr.log
# 看 agent 日志

坑提醒：EDR agent 启动会占 200-500MB 内存 + 5-10% CPU，对老旧业务机器要提前评估。

三、OpenSSH 升级：修 CVE-2020-15778

CVE-2020-15778（CVSS 7.8 高危）：OpenSSH 8.2 的 scp 命令存在命令注入漏洞——scp 在处理 scp tgt:'echo test > /tmp/hack' 这种参数时，反引号会被执行。OpenSSH 9.8p1（2024-07）已修复。

3.1 走系统源升级

1
2
3


sudo apt update && sudo apt -y upgrade
# 或 CentOS
sudo yum update openssh

大部分 LTS 发行版会自动 backport 修复，直接 apt upgrade 就够了——但版本号可能不会升到 9.8p1。

3.2 源码编译升级（需要 9.8p1 完整版本）

3.2.1 装依赖

1
2
3


sudo apt update
sudo apt install build-essential zlib1g-dev libssl-dev -y
sudo apt install autoconf -y

3.2.2 准备 PrivSep 目录

1
2
3


sudo mkdir /var/lib/sshd
sudo chmod -R 700 /var/lib/sshd/
sudo chown -R root:sys /var/lib/sshd/

3.2.3 装额外依赖（Kerberos / PAM / SELinux）

1

sudo apt install libpam0g-dev libselinux1-dev libkrb5-dev -y

3.2.4 下载 + 编译

1
2
3
4
5
6
7
8
9


curl -O https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-9.8p1.tar.gz
sudo tar -zxf openssh-9.8p1.tar.gz
cd openssh-9.8p1
sudo autoreconf
sudo ./configure --with-kerberos5 --with-md5-passwords --with-pam \
 --with-selinux --with-privsep-path=/var/lib/sshd/ \
 --sysconfdir=/etc/ssh
sudo make
sudo make install

3.2.5 重启 + 验证

1
2
3
4


sudo systemctl restart ssh
sudo systemctl status ssh
ssh -V
# OpenSSH_9.8p1, OpenSSL 1.1.1f 31 Mar 2020

坑提醒 1：升级前先开两个 SSH 会话——一个升级、一个监视。万一升级失败，被踢出来时还有回退渠道。

坑提醒 2：编译时如果报 configure: error: OpenSSL library not found，装 libssl-dev（Debian/Ubuntu）或 openssl-devel（RHEL/CentOS）。

坑提醒 3：升级后 /etc/ssh/sshd_config 不会自动更新——但 sshd_config 5.x → 9.x 兼容性一般没问题。

四、挖矿病毒应急排查

c3Pool、MoneroOcean、Supportxmr 等门罗币矿池是国内挖矿木马最常用的"回传通道"。特征：

进程名随机（f54e90d4 / ntools / WbeGGvQK / kthrotlds 等）
CPU 持续 80%+
跟矿池的 3333 / 5555 / 7777 / 14444 / 14433 等端口建连
cron 里写 */5 * * * * /tmp/.x/...
/etc/cron.d/、/var/spool/cron/、/etc/rc.local 被改

4.1 排查步骤

第 1 步：看 CPU 占用

1

top -u <被怀疑的用户>

或精确找挖矿进程：

1

ps -ef | grep -E 'kdevtmpfsi|kinsing|xmrig|minerd|c3pool' | grep -v grep

第 2 步：查网络连接

1
2
3
4
5


# 看跟可疑矿池的连接
ss | grep -i :3333
ss | grep -i :14444
ss | grep -i :14433
netstat -antp | grep -E ':(3333|5555|7777|14444|14433)\s'

第 3 步：查定时任务

1
2
3
4
5


crontab -l
ls -la /etc/cron.d/
ls -la /etc/cron.daily/ /etc/cron.hourly/ /etc/cron.weekly/
ls -la /var/spool/cron/
cat /etc/rc.local

第 4 步：看启动项

1
2
3


systemctl list-unit-files | grep enabled
# 找可疑的 .service
cat /etc/systemd/system/<可疑>.service

第 5 步：杀进程 + 删文件

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15


# 杀进程
pkill -9 -u <被感染用户>
# 或按 PID
ps -ef | grep -i xmrig | grep -v grep | awk '{print $2}' | xargs kill -9

# 删文件
rm -rf /tmp/.x/
rm -rf /var/tmp/.cache/
rm -rf /root/.configrc/

# 删用户
userdel -r <被感染用户>

# 清空可疑 crontab
crontab -r

第 6 步：改密码 + 收口

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13


passwd root
# 改所有用户密码
# 撤 SSH 密钥
rm -f /root/.ssh/authorized_keys
rm -f /home/*/.ssh/authorized_keys

# 关可疑端口（防火墙）
iptables -A INPUT -p tcp --dport 3333 -j DROP
iptables -A INPUT -p tcp --dport 14444 -j DROP

# 查 SSH 登录历史
last -a | grep -i still
# 找可疑 IP

4.2 排查命令速查

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17


# 1. 看哪些用户登录了
last -a

# 2. 看哪些 SSH 进程在工作
ps -ef | grep sshd | grep -v grep
netstat -antp | grep 'ESTABLISHED.*sshd'

# 3. 查进程工作目录
ps -ef | grep -i xmrig
pwdx <PID>
ll /proc/<PID>/cwd
# /proc/<PID>/cwd 是进程当前工作目录的软链接

# 4. 查被修改的二进制
rpm -Va | grep -E '^..5' # CentOS / RHEL
debsums -c # Debian / Ubuntu
# 5=MD5 不一致 → 二进制被替换

4.3 应急清单

步骤	命令	目的
1. 隔离	`iptables -I INPUT -s <可疑IP> -j DROP`	阻断攻击者 SSH 入口
2. 拍快照	云盘快照 / LVM 快照	保留现场取证
3. 杀进程	`pkill -9 -u <user>`	中断挖矿
4. 删文件	`rm -rf /tmp/.x/`	清掉二进制
5. 改密码	`passwd root`	防止再次入侵
6. 收口	封 3333/14444 等矿池端口	防止复连
7. 复盘	查 SSH 弱口令 / 未授权密钥 / 0day	找到入侵路径

五、SSH 攻击 IP 黑名单（fail2ban 思路）

fail2ban 是 Linux 标配的 SSH 防护工具——连续登录失败 N 次自动封 IP。

1
2
3
4
5
6


# Debian / Ubuntu
sudo apt install -y fail2ban

# CentOS / RHEL
sudo yum install -y epel-release
sudo yum install -y fail2ban

/etc/fail2ban/jail.local：

1
2
3
4
5
6
7
8
9


[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/secure # CentOS
# logpath = /var/log/auth.log # Ubuntu
maxretry = 5
findtime = 600
bantime = 3600

启动：

1
2


sudo systemctl enable --now fail2ban
sudo fail2ban-client status sshd

六、典型坑速查

现象	原因	处理
OpenSSH 编译失败	缺 `libssl-dev` / `libpam0g-dev`	走 §3.2.1 装依赖
SSH 升级后无法登录	`sshd_config` 配错	控制台 / VNC 登录修 `/etc/ssh/sshd_config`
EDR agent 装不上	服务器断网 / 平台端口不通	走 §2.2 下载器部署
`userdel` 失败	用户还有进程在跑	`pkill -u <user> && userdel -r <user>`
`crontab -e` 提示 “no crontab for root”	crontab 已被清空	这是好事，再 `crontab -e` 重新建
矿池连不上但 CPU 仍高	杀的是单进程、还有其他变种	`pkill -9 -u <user>` 一刀切

七、2024+ 视角补充

本文写于 2022-05，2024-2026 期间 Linux 安全加固关键演进：

OpenSSH 9.8 → 9.9 → 10.0（2024-2026）：
- OpenSSH 9.9（2024-09）：后量子算法默认启用（ML-DSA / hybrid Streamlined NTRUPrime）
- OpenSSH 10.0（2025-04）：dropbear 替代品；DSA 主机密钥完全移除
- CVE-2024-6387（regreSSHion）：OpenSSH 8.5p1 ~ 9.7p1 的 signal handler race condition——远程 RCE 漏洞，必须升 9.8p1+（2024-07 修复）
EDR 生态（2024-2026）：
- CrowdSec 1.0+（2024）：社区共享 IP 黑名单——fail2ban 的现代替代，集成 fail2ban bouncer 兼容
- Wazuh 4.9+（2025）：开源 EDR / SIEM——OSSEC 演进版，机器学习检测 / 合规基线
- Falco 0.40+（2025）：CNCF 毕业——运行时安全（eBPF），K8s 安全监控首选
- Tetragon 1.0+（2024）：eBPF 驱动的 K8s 安全——Cilium 出品
- Tracee 1.0+（2024）：Aqua Security 出品，运行时威胁检测
挖矿木马演化（2024-2026）：
- 门罗币（XMR） 仍是主流，2024+ 出现 AI 挖矿（LLM 模型训练）——更隐蔽
- APT 组织 从挖矿转向勒索 + 数据窃取双驱动——纯挖矿变少
- 供应链投毒 2024+ 高发（XZ Utils 后门 CVE-2024-3094 / Polkit 提权）
EDR 商业方案（2024+）：
- CrowdStrike Falcon（2024-07 全球蓝屏事件后信任度下降，但仍是主流）
- Microsoft Defender for Endpoint / Linux：2024+ 集成 K8s，Linux Server 端默认
- 阿里云 / 腾讯云安骑士 / 云安全中心：国内云上 EDR 首选

实战建议（2025-2026 视角）：

SSH 安全 → 立即升 OpenSSH 9.8p1+（修 CVE-2024-6387）
EDR 选型：
- 预算充足 / 企业 → CrowdStrike / Microsoft Defender
- 开源 / 自托管 → Wazuh 4.9+（SIEM + EDR） / Falco（K8s）
挖矿防护 → CrowdSec 替代 fail2ban（社区共享 IP 黑名单）
白名单 → SELinux Targeted + OpenSCAP（合规基线扫描）
云原生 → Falco + Tetragon 是 2024-2026 K8s 安全黄金组合

八、下一步

想做更细的病毒查杀 → 上 OSSEC / Wazuh / ClamAV 等开源 EDR
想做 SSH 集中管理 → 走堡垒机（齐治 / 安恒 / JumpServer）
想做内网横向流量检测 → 上 NDR（科来、东巽科技、聚铭网络）
想给服务器上白名单模式 → 走 SELinux Targeted 策略或 AppArmor

参考资料

Linux 用户管理与安全加固：账号管理、登录审计、chattr 防删与定时任务

Fri, 15 Mar 2019 00:00:00 +0800

一、为什么是 2019 年这一份

2019 年这个时间点前后，Linux 服务器安全进入"主动防御"阶段：

sshd 密码爆破已经是常态，单一 IP 每分钟几千次尝试
挖矿病毒大规模爆发（2017-2019 持续增长），chattr +i 防删成为应急标配
Linux 用户管理的工具集基本稳定：useradd / usermod / userdel / passwd / last / lastlog
systemd 全面接管服务管理，crontab 仍有"定时任务"位置但已被 systemd timer 部分替代

这一篇覆盖用户账号管理、登录审计、异常文件排查、chattr 防删与挖矿应急、cron 故障排查——一个系统管理员面对"被入侵后该怎么排查"的全套流程。

阅读建议：本文是"应急手册"性质——日常不需要看，但出事时第一份要翻的文档。

二、用户账号管理

2.1 查用户信息

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15


# 后面第二个冒号的值大于 1000 时，这个就是一个普通用户
cat /etc/passwd | cut -d: -f 1-3
# dell:x:1000

# 各用户最近登录
lastlog
# 用户名 端口 来自 最后登录时间
# root pts/0 <IP> 三 12月 13 08:36:29 +0800 2023
# dell pts/0 <IP> 二 12月 12 21:07:11 +0800 2023

# 更新指定用户密码
passwd dell
# 新的密码：
# 重新输入新的密码：
# passwd：已成功更新密码

2.2 删除用户

1
2
3
4
5


# 仅删除用户（保留家目录）
userdel username

# 删除用户并删除家目录
userdel -r username

2.3 切换用户不可用时

如果某个用户 SSH 进去后 su 切不到，可能是 shell 被改成 /sbin/nologin：

1
2
3
4
5
6


# 方法一
usermod -s /bin/bash root

# 方法二：直接编辑 /etc/passwd
vi /etc/passwd
# 找到要修改的用户，将 /sbin/nologin 改成 /bin/bash

三、登录审计：被入侵后的第一件事

3.1 查特权用户

1
2


# UID = 0 的都是 root 等价账号
awk -F ":" '$3==0{print $1}' /etc/passwd

3.2 查可远程登录的账号

1
2


# 密码字段是 $1（MD5）/ $5（SHA-256）/ $6（SHA-512）的都有密码
awk '/\$1|\$6/{print $1}' /etc/shadow

3.3 查当前登录用户

1
2


w
# 显示当前登录用户和他们正在执行的命令

3.4 查最近登录

1
2


last
# 显示所有用户的登录/注销信息 + 系统的启动/重启/关机事件

3.5 查登录成功的记录

1
2


# 从 /var/log/secure 提取 Accepted 行
grep "Accepted " /var/log/secure* | awk '{print $1,$2,$3,$9,$11}'

3.6 查爆破 IP

1
2
3
4
5
6
7
8


# 查 sshd 拒绝的 IP
grep refused /var/log/secure* | awk {'print $9'} | sort | uniq -c | sort -nr | more

# 查 Failed password 的 IP
grep "Failed password" /var/log/secure* | grep -E -o "(([0-9]{1,3})\.([0-9]{1,3})\.([0-9]{1,3})\.([0-9]{1,3}))" | uniq -c

# 查爆破 root 的 IP
grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort

3.7 查爆破的用户名字典

1

grep "Failed password" /var/log/secure | awk {'print $9'} | sort | uniq -c | sort -nr

四、异常文件排查

4.1 查 cron 是否有恶意脚本

 1
 2
 3
 4
 5
 6
 7
 8
 9
10


# 检查所有 cron 文件
/var/spool/cron/*
/etc/crontab
/etc/cron.d/*
/etc/cron.daily/*
/etc/cron.hourly/*
/etc/cron.monthly/*
/etc/cron.weekly/*
/etc/anacrontab
/var/spool/anacron/*

4.2 查最近被修改的系统文件

1
2


find /etc/ /usr/bin/ /usr/sbin/ /bin/ /usr/local/bin/ \
 -type f -mtime -T | xargs ls -la

-T 是要替换的天数。比如 -mtime -7 是 7 天内被修改的文件。

4.3 查最近被替换的命令

 1
 2
 3
 4
 5
 6
 7
 8
 9
10


# 按时间排序
ls -alt /usr/bin /usr/sbin /bin /usr/local/bin

# 用 rpm 校验包内文件（CentOS/RHEL）
rpm -Va > rpm.log
# 重点看 S、M、5、T 标记异常的
# S - 文件大小变化
# M - 模式变化（含权限）
# 5 - MD5 校验和变化
# T - 修改时间变化

4.4 查异常开机启动项

1
2
3


cat /etc/rc.local
chkconfig --list # CentOS 6
systemctl list-unit-files --type=service # CentOS 7+

五、查杀病毒和 rootkit

工具	用途	下载
`chkrootkit`	查杀 rootkit	http://www.chkrootkit.org
`rkhunter`	查杀 rootkit	http://rkhunter.sourceforge.net
`clamav`	查杀病毒	http://www.clamav.net/download.html
`cloudwalker`	查杀 webshell	http://github.com/chaitin/cloudwalker

六、挖矿病毒应急：`chattr +i` 防删与解除

6.1 现象：文件无法删除

挖矿病毒感染后常见现象：自己生成的 SSH 公钥、cron 文件、挖矿程序二进制都"加锁"了，rm 删不掉。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14


# 找挖矿进程
top

# 找到 exe 路径
ls -l /proc/<pid>

# 查属性（有 i / a 之类的是被锁住了）
lsattr 文件名

# 添加属性（之后 rm 删不掉）
chattr -R +i ./test*

# 删除属性（运行完下面就能删了）
chattr -R -i ./test*

6.2 全局清理流程

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20


# 1. 杀进程
ps aux | grep -v grep | grep 挖矿进程名 | awk '{print $2}' | xargs kill -9
# 或
pkill -9 -f 挖矿特征

# 2. 删用户（带 -r 清空家目录）
pkill -u 挖矿用户名 && userdel -f 挖矿用户名
rm -rf /home/挖矿用户名

# 3. 查 SSH 登录的挖矿用户进程
netstat -antp | grep sshd
# 拿到 PID
ps -ef | grep ssh | grep -v grep | awk '{print $2}' | xargs kill -9

# 4. 查可登录的 shell
cat /etc/passwd | grep -v nologin | grep -v halt | grep -v shutdown | \
 awk -F":" '{ print $1"|"$3"|"$4 }' | more

# 5. 改 root 密码
passwd root

6.3 查 sshd 上的可疑连接

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


# 当前仍在线的
last -a | grep -i still
# root pts/0 Thu Jul 18 05:40 still logged in <IP>
# reboot system boot Sat Jul 6 07:23 still running 5.15.0-113-generic

# 用 ss / netstat
ss | grep -i ssh
# tcp ESTAB 0 64 <本机>:ssh <攻击者IP>:2316

netstat -tnpa | grep 'ESTABLISHED.*sshd'
# tcp 0 0 <本机>:22 <攻击者IP>:2316 ESTABLISHED <pid>/sshd: root@

6.4 查进程工作目录

1
2
3


ps -ef | grep ssh
pwdx <pid>
ll /proc/<pid>/cwd

七、docker stats 查容器资源占用

挖矿病毒有时会跑在容器里：

1
2
3
4
5
6
7


# 按内存排序
docker stats --no-stream --format "table {{.Name}}\t{{.Container}}\t{{.MemUsage}}" | \
 sort -k 3 -h

# 按内存逆序
docker stats --no-stream --format "table {{.Name}}\t{{.Container}}\t{{.CPUPerc}}\t{{.MemUsage}}" | \
 sed '1d' | sort -k 4 -h -r

八、定时任务不生效的排查

cron 任务"配了不跑"是常见故障，按以下顺序排查：

8.1 权限问题

1

chmod +x /home/docker/mysql/mysqlbak.sh

8.2 时区问题

1
2
3
4
5
6
7
8
9


# 看时区
date
timedatectl

# 改时区
timedatectl set-timezone Asia/Shanghai

# 同步时区文件
cp /usr/share/zoneinfo/Asia/Shanghai /etc/localtime

8.3 服务状态

1
2


systemctl status cron
systemctl status crond

8.4 看日志

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12


# /var/log/cron 不存在？打开 rsyslog 记录
vim /etc/rsyslog.d/50-default.conf
cron.* /var/log/cron.log

# 重启 rsyslog
systemctl restart rsyslog

# 看 cron 日志
less -10 /var/log/cron.log

# 重载
service cron reload

8.5 Ubuntu 的 auth.log 噪声

Ubuntu 经常有大量 CRON 噪音日志刷屏：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


# 打开 /etc/pam.d/common-session-noninteractive
# 找到这一行
# session required pam_unix.so
# 在上面加一行
session [success=1 default=ignore] pam_succeed_if.so service in cron quiet use_uid

# 重启 cron
/etc/init.d/cron restart

# 清空日志
cat /dev/null > /var/log/auth.log

九、用户清理（离职交接）

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12


# 1. 列出当前所有可登录账号
cat /etc/passwd | grep -v nologin | grep -v false

# 2. 杀该用户的所有进程
pkill -u username

# 3. 删用户 + 清空家目录
userdel -r username

# 4. 验证
id username
ls -la /home/username

十、安全基线检查清单

检查项	命令
特权用户	`awk -F":" '$3==0{print $1}' /etc/passwd`
空密码账号	`awk -F: '($2 == "") {print $1}' /etc/shadow`
最近 7 天被改的文件	`find /etc /usr -mtime -7 -ls`
异常 cron	`ls -la /etc/cron.* /var/spool/cron/`
SSH 端口暴露	`ss -tnlp
防火墙	`iptables -L -n`
登录失败次数	`lastb
公开密钥	`find / -name "authorized_keys" -ls 2>/dev/null`

十一、前置知识 / 下一步

想看 iptables / ufw 防火墙配置 → 翻独立文章
想看 fail2ban 防爆破 → 翻独立文章
想看 GVM 漏洞扫描 → 翻本系列《Linux 安全：挖矿病毒与漏洞扫描》
想看日志集中分析（ELK / Loki）→ 翻独立文章
想看 SELinux / AppArmor → 翻独立文章

十二、参考资源

man useradd / man usermod / man userdel / man passwd
man last / man lastlog / man w
man chattr / man lsattr
man cron / man crontab / man at
Linux 服务器安全基线（等保 2.0）：https://www.djbh.net/ 等
ATT&CK for Linux：https://attack.mitre.org/matrices/enterprise/linux/

2024 视角：用户管理与安全加固的"现代姿势"

2019 那篇是单台服务器安全加固的速查。2024 在云原生 + 等保 2.0 + 零信任背景下，思路有几处大变化。

一、systemd 替代 crontab（“定时任务"领域）

2019 那篇大段讲 cron 故障排查。2024 主流做法是 systemd timer（journal 日志统一管理 + 资源隔离）：
迁移案例：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20


# /etc/systemd/system/backup.service
[Unit]
Description=数据库备份
Wants=backup.timer

[Service]
Type=oneshot
User=backup
ExecStart=/home/backup/db-backup.sh

# /etc/systemd/system/backup.timer
[Unit]
Description=每天 03:00 跑备份

[Timer]
OnCalendar=*-*-* 03:00:00
Persistent=true

[Install]
WantedBy=timers.target

1
2
3


systemctl daemon-reload
systemctl enable --now backup.timer
systemctl list-timers

二、`/var/log/secure` 改名 → journald

2019 那篇所有"看 secure / wtmp / btmp“的命令，在 RHEL 8/9、Ubuntu 22.04+ 都用 journald 替代：

1
2
3
4
5
6
7
8


# SSH 登录成功
journalctl -u sshd -g "Accepted publickey" --since "1 day ago"

# SSH 登录失败
journalctl -u sshd -g "Failed password" --since "1 hour ago" -o json | jq -r '.__REALTIME_TIMESTAMP as $t | .MESSAGE'

# 实时跟踪
journalctl -u sshd -f

/var/log/btmp 这种二进制日志（lastb 用）保留，但默认写到 journal，需要 journalctl --list-boots + last -f /var/log/wtmp。

三、密码爆破的"现代对抗”：fail2ban → CrowdSec

2019 那篇给的 fail2ban 仍是有效工具。
2024 主流：CrowdSec（Go 写的现代版 fail2ban）——社区共享 IP 黑名单：

1
2
3
4
5


# 装
curl -s https://packagecloud.io/install/repositories/crowdsec/crowdsec/script.deb.sh | sudo bash
sudo apt install crowdsec
sudo apt install crowdsec-firewall-bouncer-iptables
# 自动接管 SSH/Nginx/Apache 防护

优势：通过 bouncer 把攻击 IP 报到中心服务器，整个社区的人都在用同一个黑名单。
fail2ban 还在用，但 2024 越来越多部署同时跑 fail2ban（老牌稳）+ CrowdSec（社区黑名单）。

四、挖矿病毒对抗 2024 升级版

2019 那篇给的"挖矿进程 → chattr +i 防删 → pkill"流程在 2024 仍管用，但挖矿病毒已经升级：

rootkit 隐藏：用 LD_PRELOAD 替换系统调用，让 top / ps 看不到。
容器逃逸：挖矿病毒跑在容器里，宿主机 top 看不到。
K8s 挖矿：用 RBAC 权限漏洞（提权到 cluster-admin），挖整个集群。

2024 升级的排查：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17


# 1. 查被劫持的动态库
cat /etc/ld.so.preload
ls -la /etc/ld.so.preload

# 2. 用 busybox / static 工具替代被劫持的 top/ps
# busybox top
# busybox ps

# 3. chkrootkit / rkhunter 仍管用
apt install rkhunter
rkhunter --check

# 4. 用 eBPF 工具（2020 那篇已提）查隐藏进程
bpftrace -e 'tracepoint:sched:sched_process_exec { printf("%s\n", comm); }'

# 5. K8s 场景：用 Falco（容器运行时安全）
helm install falco falcosecurity/falco

五、登录审计的"现代告警”：Sudo 审计 + PAM 增强

2019 那篇主要看 last / wtmp。2024 强化：
Sudo 审计（/var/log/audit/audit.log 或 journald）：

1
2
3
4
5
6
7
8


# 查谁 sudo 了
journalctl _AUDIT_TYPE_NAME=1100 -g "EXECVE" --since today

# 或直接 auditd
ausearch -m USER_CMD -ts today

# 实时跟踪 sudo
auditctl -w /usr/bin/sudo -p x -k sudo_audit

PAM 强制 MFA（多因素认证）：

1
2


apt install libpam-google-authenticator
google-authenticator # 给用户配置 TOTP

1
2


# /etc/pam.d/sshd 加一行
auth required pam_google_authenticator.so

六、SSH 安全基线 2024 升级版

2019 那篇提到 PasswordAuthentication no / PermitRootLogin no，2024 主流加固：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23


# /etc/ssh/sshd_config.d/00-hardening.conf
Protocol 2
PermitRootLogin no
PasswordAuthentication no
PubkeyAuthentication yes
ChallengeResponseAuthentication no
KbdInteractiveAuthentication no
UsePAM yes
X11Forwarding no
PrintMotd no
AcceptEnv LANG LC_*
MaxAuthTries 3
MaxSessions 3
ClientAliveInterval 300
ClientAliveCountMax 0
LoginGraceTime 30
AllowUsers deployer admin
AllowGroups ssh-users
# 强制只接受 ed25519
HostKey /etc/ssh/ssh_host_ed25519_key
# 禁 DSA / RSA-SHA1
HostKeyAlgorithms ssh-ed25519,rsa-sha2-512,rsa-sha2-256
PubkeyAcceptedAlgorithms ssh-ed25519,rsa-sha2-512,rsa-sha2-256

1
2


systemctl restart sshd
sshd -T | grep -E "hostkey|pubkey|password" # 验证

七、容器时代的安全基线

2019 那篇的所有工具针对单台物理机 / 虚拟机。
2024 大量生产环境是 Docker / K8s——chattr +i 在容器里不生效（容器没有真正的 root 权限到 host fs）。
容器化场景的安全工具：
- Trivy / Grype（镜像漏洞扫描）
- Falco（运行时入侵检测）
- OPA / Kyverno（策略引擎，限制容器能做什么）
- Cosign（镜像签名，验证镜像来源）

1
2
3
4
5


# Trivy 扫描镜像
trivy image nginx:1.25

# Falco 检测异常
kubectl apply -f https://raw.githubusercontent.com/falcosecurity/falco/master/deploy/k8s-with-helm/falco.yaml

MySQL 用户权限与安全实战：账号、密码、远程连接与排错

Fri, 15 Jun 2018 00:00:00 +0800

为什么写这篇：MySQL 日常 80% 的运维问题都跟"用户/密码/远程连接"有关——ERROR 1130 远程拒绝、root 密码忘了、caching_sha2_password 客户端不兼容、InnoDB 起不来。本文把所有这些场景整理成可复用的 SOP。

适用读者：需要做 MySQL 账号管理、权限分配、生产排错的 DBA / 运维 / 后端。

前置知识：会用 mysql 客户端、了解 user/host 二元组的概念。

1. 账号体系：`user@host` 二元组

MySQL 的账号由 用户名 + 主机 共同决定——root@localhost 和 root@% 是两个独立的账号，密码可以不同。

host 值	含义
`localhost`	仅本地 socket 连接（不走 TCP）
`127.0.0.1`	本地 TCP（不推荐，与 localhost 不同）
`10.0.0.1`	单 IP
`10.0.0.%`	10.0.0 网段
`10.0.0.0/255.255.255.0`	等价于 `10.0.0.%`（MySQL 不支持 CIDR）
`%`	任意 IP（最不安全）
`host1, host2`	多 IP 用逗号分隔

最佳实践：永远不要用 root@%。生产库至少分 3 个账号：

app_readonly@10.0.0.%：业务读账号，只 SELECT

app_rw@10.0.0.%：业务读写账号，限定特定库

dba@10.0.0.%：DBA 管理账号，运维专用

2. 创建用户与授权：GRANT / REVOKE

2.1 创建用户

1
2
3
4
5


-- 标准语法
CREATE USER 'username'@'host' IDENTIFIED BY 'password';

-- 示例
CREATE USER 'app_user'@'%' IDENTIFIED BY '{{REDACTED}}';

MySQL 5.7+ 默认密码策略是 MEDIUM：8 位以上、大小写 + 数字 + 符号。

2.2 授权（GRANT）

1
2


-- 语法：grant 权限 on 库.表 to 'user'@'host'
GRANT ALL PRIVILEGES ON *.* TO 'app_user'@'%' WITH GRANT OPTION;

权限粒度从大到小：

粒度	语法	适用
全局	`.`	DBA / 超级账号
库级	`industry_iot.*`	业务库应用
表级	`industry_iot.risk_task`	极小权限
列级	`(col1, col2)`	极少用（要 INSERT/SELECT 配合）

完整权限列表（按常用度排序）：

1
2
3
4
5


ALL SELECT, INSERT, UPDATE, DELETE, CREATE, DROP, RELOAD,
SHUTDOWN, PROCESS, FILE, REFERENCES, INDEX, ALTER, SHOW DATABASES,
SUPER, CREATE TEMPORARY TABLES, LOCK TABLES, EXECUTE, REPLICATION SLAVE,
REPLICATION CLIENT, CREATE VIEW, SHOW VIEW, CREATE ROUTINE, ALTER ROUTINE,
CREATE USER, EVENT, TRIGGER, CREATE TABLESPACE, CREATE ROLE, DROP ROLE

MySQL 8.0 还多了 动态权限（dynamic privileges）：

1
2
3
4
5
6
7
8


APPLICATION_PASSWORD_ADMIN, AUDIT_ADMIN, BACKUP_ADMIN, BINLOG_ADMIN,
BINLOG_ENCRYPTION_ADMIN, CLONE_ADMIN, CONNECTION_ADMIN, ENCRYPTION_KEY_ADMIN,
FLUSH_OPTIMIZER_COSTS, FLUSH_STATUS, FLUSH_TABLES, FLUSH_USER_RESOURCES,
GROUP_REPLICATION_ADMIN, INNODB_REDO_LOG_ARCHIVE, INNODB_REDO_LOG_ENABLE,
PERSIST_RO_VARIABLES_ADMIN, REPLICATION_APPLIER, REPLICATION_SLAVE_ADMIN,
RESOURCE_GROUP_ADMIN, RESOURCE_GROUP_USER, ROLE_ADMIN, SERVICE_CONNECTION_ADMIN,
SESSION_VARIABLES_ADMIN, SET_USER_ID, SHOW_ROUTINE, SYSTEM_USER,
SYSTEM_VARIABLES_ADMIN, TABLE_ENCRYPTION_ADMIN, XA_RECOVER_ADMIN

2.3 只授 CRUD（推荐生产）

1
2
3
4


-- 业务账号：只允许 CRUD 业务库
GRANT SELECT, INSERT, UPDATE, DELETE
ON industry_iot_dev.*
TO 'app_user'@'10.0.0.%';

2.4 撤销权限

1
2
3
4
5


-- 撤销所有权限 + 授权选项
REVOKE ALL PRIVILEGES, GRANT OPTION FROM 'app_user'@'%';

-- 撤销特定权限
REVOKE INSERT, UPDATE ON industry_iot_dev.* FROM 'app_user'@'10.0.0.%';

2.5 完整流程：创建 + 授权 + 刷新

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13


-- 1. 创建用户
CREATE USER 'app_user'@'%' IDENTIFIED BY '{{REDACTED}}';

-- 2. 授权
GRANT SELECT, INSERT, UPDATE, DELETE
ON industry_iot_dev.*
TO 'app_user'@'%';

-- 3. 刷新（必须有）
FLUSH PRIVILEGES;

-- 4. 验证：用新账号登录
-- mysql -h db_host -u app_user -p'{{REDACTED}}' industry_iot_dev

2.6 一次性创建 + 授权（with grant option）

1

GRANT ALL PRIVILEGES ON industry_iot_dev.* TO 'dev'@'%' IDENTIFIED BY '{{REDACTED}}' WITH GRANT OPTION;

MySQL 8.0 已经不支持 GRANT ... IDENTIFIED BY 这种语法——必须先 CREATE USER 再 GRANT。这种"老语法"在 5.7 升级 8.0 时要全部改一遍。

3. 远程连接排错：ERROR 1130

1

ERROR 1130 (HY000): Host 'xxx' is not allowed to connect to this MySQL server

原因：mysql.user 表里没有匹配 client_ip 的账号。

修法（生产推荐）：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


-- 1. 用 mysql_native_password 创建远程专用账号
CREATE USER IF NOT EXISTS 'app_user'@'10.0.0.%'
IDENTIFIED WITH mysql_native_password BY '{{REDACTED}}';

-- 2. 授权（限定库，不给全局）
GRANT SELECT, INSERT, UPDATE, DELETE
ON industry_iot_dev.*
TO 'app_user'@'10.0.0.%';

-- 3. 刷新
FLUSH PRIVILEGES;

临时应急（仅测试用）：

1
2
3
4
5


-- 把 root 改成允许任意 IP
CREATE USER IF NOT EXISTS 'root'@'%'
IDENTIFIED WITH mysql_native_password BY '{{REDACTED}}';
GRANT ALL PRIVILEGES ON *.* TO 'root'@'%' WITH GRANT OPTION;
FLUSH PRIVILEGES;

3.1 Navicat 客户端报错

Authentication plugin 'caching_sha2_password' cannot be loaded

→ 改用 mysql_native_password（见下文 §5）。

3.2 客户端连接慢（5+ 秒才连上）

useDNS=no 没设导致反向 DNS 查询慢。在 my.cnf 加：

1
2


[mysqld]
skip-name-resolve

或对 MySQL 5.7+：

1
2
3


[mysqld]
# 关闭反向 DNS 解析
skip-name-resolve

4. root 密码管理：重置 / 找回

4.1 在线改密码（MySQL 5.7+）

1
2
3
4
5
6
7
8


-- 新版本（推荐）
ALTER USER 'root'@'localhost' IDENTIFIED BY '{{REDACTED}}';

-- 远程访问账号
ALTER USER 'root'@'%' IDENTIFIED BY '{{REDACTED}}';

-- 刷新
FLUSH PRIVILEGES;

4.2 旧版本兼容

1
2
3
4
5
6
7
8
9


-- 5.6 / 5.7 老语法
SET PASSWORD FOR 'root'@'localhost' = PASSWORD('{{REDACTED}}');

-- mysql_native_password 兼容
UPDATE user SET authentication_string = SHA1('{{REDACTED}}') WHERE user = 'root';

-- 允许任意 IP
UPDATE user SET host = '%' WHERE user = 'root';
FLUSH PRIVILEGES;

4.3 忘了密码（找回 SOP）

前提：能物理访问服务器 + 有 my.cnf 编辑权限。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30


# 1. 停 MySQL
systemctl stop mysqld

# 2. 临时加 skip-grant-tables
vim /etc/my.cnf
# [mysqld]
# skip-grant-tables

# 3. 启动
systemctl start mysqld

# 4. 空密码登录
mysql -uroot

# 5. 清空 root 密码
USE mysql;
FLUSH PRIVILEGES;
UPDATE user SET authentication_string = '' WHERE user = 'root';

# 6. 退出，注释掉 skip-grant-tables
# 7. 重启
systemctl restart mysqld

# 8. 重新登录（空密码）
mysql -uroot

-- 9. 设置新密码
ALTER USER 'root'@'localhost' IDENTIFIED BY '{{REDACTED}}';
ALTER USER 'root'@'%' IDENTIFIED BY '{{REDACTED}}';
FLUSH PRIVILEGES;

4.4 mysqladmin 一行命令

1
2


# 知道旧密码时最快
mysqladmin -uroot -p'{{OLD_PASSWORD}}' password '{{NEW_PASSWORD}}'

5. mysql_native_password vs caching_sha2_password

维度	`mysql_native_password`	`caching_sha2_password`
引入版本	MySQL 5.6 之前	MySQL 8.0（默认）
算法	SHA1	SHA-256 + cache
性能	较好	更快（首次验证后缓存）
安全性	中（SHA1 已不推荐）	高（不传明文密码）
客户端兼容	全平台	8.0+ Connector、5.7.23+ xdevapi

5.1 老客户端不兼容

老版本 Navicat (11/12)、JDBC 5.x、某些 ORM 框架连接时报：

1

Authentication plugin 'caching_sha2_password' cannot be loaded

修法：

1
2
3
4
5
6


-- 单个账号降级
ALTER USER 'app_user'@'10.0.0.%' IDENTIFIED WITH mysql_native_password BY '{{REDACTED}}';
FLUSH PRIVILEGES;

-- 全局默认改成 mysql_native_password
SET GLOBAL default_authentication_plugin = 'mysql_native_password';

新部署的项目应该用 caching_sha2_password——mysql_native_password 是历史包袱。

5.2 全局修改默认认证插件

1
2
3


# /etc/my.cnf
[mysqld]
default_authentication_plugin = caching_sha2_password

改了之后已存在的用户不受影响，要批量改可以导出现有用户再 SET GLOBAL 重设。

6. InnoDB 启动崩溃：6 级 force_recovery

现象：

1
2
3
4


[InnoDB] Unable to lock ./undo_001 error: 11
2025-01-03T02:52:18 [ERROR] [MY-012562] [InnoDB] We scanned the log up to ...
InnoDB: Assertion failure: log0log.cc:657:first_rec_group <= start_lsn - block_lsn
InnoDB: We intentionally generate a memory trap.

6.1 紧急修法

1
2
3


# 1. 把有问题的 undo 文件备份
mv undo_001 undo_001.bak
cp -a undo_001.bak undo_001

6.2 force_recovery 6 级

1
2
3


# /etc/my.cnf
[mysqld]
innodb_force_recovery = 6

值	含义	影响
1 (SRV_FORCE_IGNORE_CORRUPT)	忽略 corrupt 页	可能丢数据
2 (SRV_FORCE_NO_BACKGROUND)	阻止主线程 full purge	crash 风险
3 (SRV_FORCE_NO_TRX_UNDO)	不执行事务回滚	丢未提交事务
4 (SRV_FORCE_NO_IBUF_MERGE)	不执行插入缓冲合并	性能降
5 (SRV_FORCE_NO_UNDO_LOG_SCAN)	不看重做日志	丢未提交事务
6 (SRV_FORCE_NO_LOG_REDO)	不执行前滚	最后手段

使用原则：从 1 开始逐级试，能起来就用。6 起来后第一件事 mysqldump 全量导出——之后用正常模式重建库。

7. 字符集与排序规则最佳实践

7.1 建库时统一 utf8mb4

1
2
3


CREATE DATABASE industry_iot_dev
DEFAULT CHARACTER SET utf8mb4
COLLATE utf8mb4_unicode_ci;

7.2 建表时显式声明

 1
 2
 3
 4
 5
 6
 7
 8
 9
10


CREATE TABLE risk_task (
 id INT PRIMARY KEY AUTO_INCREMENT,
 name VARCHAR(64)
 CHARACTER SET utf8mb4
 COLLATE utf8mb4_general_ci
 NOT NULL DEFAULT '',
 -- ...
) ENGINE = InnoDB
 DEFAULT CHARSET = utf8mb4
 COLLATE = utf8mb4_unicode_ci;

7.3 utf8 vs utf8mb4

字符集	最大字符长度	实际能存
`utf8` (MySQL 早期别名)	3 字节	不支持 emoji、部分生僻字
`utf8mb4` (MySQL 5.5.3+)	4 字节	支持 emoji、所有 Unicode

铁律：MySQL 的 utf8 不是真 utf8。新库必须用 utf8mb4。

7.4 排序规则

Collation	特点
`utf8mb4_general_ci`	速度快，不严格按 Unicode 排序
`utf8mb4_unicode_ci`	按 Unicode 标准排序，推荐
`utf8mb4_bin`	按二进制比较（区分大小写）
`utf8mb4_0900_ai_ci`	MySQL 8.0 新 UCA 9.0 算法（默认）

建议：通用场景用 utf8mb4_unicode_ci（8.0 之前）或 utf8mb4_0900_ai_ci（8.0+）。

经验总结

主题	关键 SOP
新用户	`CREATE USER` + `GRANT` + `FLUSH PRIVILEGES`
远程连接	不用 `root@%`；建 `app_user@10.0.0.%` 限定网段
密码忘了	`skip-grant-tables` + 清空密码 + 重设
caching_sha2 兼容	改用 `mysql_native_password`
InnoDB 崩了	`innodb_force_recovery=1~6` 逐级试，6 起来立刻全量导出
字符集	永远 `utf8mb4_unicode_ci`

下一步

MySQL 索引优化：见《MySQL 索引优化实战》
EXPLAIN + SQL 题解：见《MySQL 实战速查》
实时同步 Canal/Debezium：见《MySQL 实时同步实战》

fail2ban 防 SSH/FRP/Nginx 爆破实战：日志正则匹配 + iptables 拉黑

Sun, 15 Mar 2015 00:00:00 +0800

背景

公网上的 SSH 22 端口，每天被全球扫描器爆破几千次。改端口可以挡一部分，但治标不治本。fail2ban 通过扫描日志匹配失败登录，自动调用 iptables/nftables 拉黑攻击 IP——简单粗暴有效，是 Linux 服务器"装了不亏"的标配。

适用场景：

SSH/RDP/FTP 暴破防御
FRP 反向代理的"真实攻击者 IP"拉黑（frpc 只看到 127.0.0.1，必须在 frps 端 ban）
Nginx 反代日志里的恶意访问拦截
自定义服务日志的异常行为检测

前置知识：

Linux 基础（systemd、iptables）
正则表达式基础（fail2ban filter 用的就是正则）

一、fail2ban 工作原理

1
2
3
4
5
6
7


服务日志（sshd/auth.log/secure）
 ↓
[filter.d/*.conf 正则匹配] → 失败次数超阈值
 ↓
[jail.local 触发动作] → iptables/nftables DROP
 ↓
[封禁时间到] → 自动解封

关键组件：

filter：正则规则（/etc/fail2ban/filter.d/）
jail：封禁策略（/etc/fail2ban/jail.local）
action：触发动作（iptables、route、cloudflare API 等）
bantime / findtime / maxretry：封禁时长 / 检测窗口 / 失败次数阈值

二、安装

2.1 CentOS

1
2


yum -y install epel-release
yum -y install fail2ban

2.2 Ubuntu / Debian

1

apt install fail2ban

2.3 启动 + 开机自启

1
2


systemctl enable --now fail2ban
systemctl status fail2ban

验证 iptables 规则已加载：

1
2


iptables -L -n
# 应看到 f2b-sshd 等 chain

三、配置 SSH 防护（默认即开）

/etc/fail2ban/jail.local（注意是 .local 不是 .conf，.local 优先级高）：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15


[DEFAULT]
# 忽略的 IP（公司出口、内网）
ignoreip = 127.0.0.1/8 10.0.0.0/8 192.168.0.0/16
# 默认参数（每个 jail 可单独覆盖）
bantime = 24h
findtime = 10m
maxretry = 5

[sshd]
enabled = true
# filter 内置 sshd.conf（Debian/Ubuntu） / sshd.conf（CentOS 在 filter.d/ 选）
filter = sshd
backend = systemd
# 日志路径（按发行版二选一）
logpath = %(sshd_log)s

%(sshd_log)s 是 fail2ban 内置变量，CentOS 是 /var/log/secure，Ubuntu 是 /var/log/auth.log，不用手填。

reload 生效：

1
2
3


fail2ban-client reload
# 或
systemctl restart fail2ban

验证：

1
2


fail2ban-client ping # 返回 Server replied: pong
fail2ban-client status sshd # 看当前被 ban 的 IP

四、FRP 反代场景的关键配置

核心痛点：frpc 看到的访问者 IP 永远是 127.0.0.1（因为 frps 是 localhost 转发的），必须在 frps 所在的 VPS 上配 fail2ban，按 frps 日志里的真实 IP 拉黑。

4.1 启用 FRP 日志

/usr/local/games/rp/frps.ini：

1
2
3
4
5


[common]
bind_port = 7000
log_file = /var/log/frps.log
log_level = info
log_max_days = 7

4.2 编写 filter

/etc/fail2ban/filter.d/frps.conf：

1
2
3
4


[Definition]
# frps 日志格式: get a user connection [1.2.3.4:5678]
failregex = ^.*get a user connection \[<HOST>:[0-9]*\]
ignoreregex = ^.*\[.*gateway.*

<HOST> 是 fail2ban 的内置占位符，匹配 IP 段。

4.3 编写 jail

/etc/fail2ban/jail.local 追加：

1
2
3
4
5
6
7
8


[frps]
enabled = true
filter = frps
logpath = /var/log/frps.log
findtime = 3m
maxretry = 3
bantime = 120m
action = iptables-allports[name=frps, protocol=all]

多个协议分离 jail（更精细）：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26


[frps-ssh-ban]
enabled = true
filter = frps-ssh-ban
logpath = /var/log/frps.log
findtime = 3m
maxretry = 3
bantime = 120m
action = iptables-allports[name=frps-ssh-ban, protocol=tcp]

[frps-rdp-ban]
enabled = true
filter = frps-rdp-ban
logpath = /var/log/frps.log
findtime = 3m
maxretry = 6
bantime = 30m
action = iptables-allports[name=frps, protocol=tcp]

[frps-ftp-ban]
enabled = true
filter = frps-ftp-ban
logpath = /var/log/frps.log
findtime = 5m
maxretry = 30
bantime = 60m
action = iptables-allports[name=frps, protocol=tcp]

filter 内容（按代理名分组）：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14


# /etc/fail2ban/filter.d/frps-ssh-ban.conf
[Definition]
failregex = ^.*\[.*ssh.*\] get a user connection \[<HOST>:[0-9]*\]
ignoreregex = ^.*\[.*gateway.*

# /etc/fail2ban/filter.d/frps-rdp-ban.conf
[Definition]
failregex = ^.*\[.*RDP.*\] get a user connection \[<HOST>:[0-9]*\]
ignoreregex =

# /etc/fail2ban/filter.d/frps-ftp-ban.conf
[Definition]
failregex = ^.*\[.*FTP_21.*\] get a user connection \[<HOST>:[0-9]*\]
ignoreregex =

测试正则匹配（上线前必做）：

1
2


fail2ban-regex /var/log/frps.log /etc/fail2ban/filter.d/frps.conf
# 末尾会输出匹配行数

五、Nginx 日志防护

如果用 Nginx 反代 RDP/SSH（stream 四层 + 自定义 log_format）：

5.1 自定义日志格式

1
2
3
4
5


log_format proxy '[$time_local] $protocol status:$status, '
 'bytes client:$bytes_sent/$bytes_received $session_time, '
 'client: $remote_addr, upstream:"$upstream_addr", '
 'bytes upstream:$upstream_bytes_sent $upstream_bytes_received';
access_log /var/log/nginx/proxy.log proxy;

5.2 写 filter

1
2
3
4


# /etc/fail2ban/filter.d/nginx-3399.conf
[Definition]
failregex = ^.*client: <HOST>, upstream:"10\..*:3389"
ignoreregex =

5.3 写 jail

1
2
3
4
5
6
7
8


[nginx-3399]
enabled = true
filter = nginx-3399
logpath = /var/log/nginx/proxy.log
findtime = 5m
maxretry = 10
bantime = 60m
action = iptables-multiport[name=nginx-3399, port="3399", protocol=tcp]

六、多日志文件支持

轮转日志场景（按天/按大小切割）：

1
2
3
4
5
6
7


# 通配符
logpath = /var/log/vpn_*.log

# 多个文件
logpath = /var/log/vpn_20191007.log
 /var/log/vpn_20191008.log
 /var/log/vpn_20191009.log

⚠️ 等号要对齐（fail2ban INI parser 严格）。

七、日常管理命令

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23


# 服务状态
fail2ban-client ping

# 列出所有 jail
fail2ban-client status

# 查看指定 jail
fail2ban-client status sshd

# 手动封 IP
fail2ban-client set sshd banip 1.2.3.4

# 手动解封
fail2ban-client set sshd unbanip 1.2.3.4

# 解封所有
fail2ban-client unban --all

# 重载配置（不重启服务）
fail2ban-client reload

# 看日志
tail -f /var/log/fail2ban.log

直接操作 iptables（不进 fail2ban 的快封）：

1
2
3
4
5
6
7
8


# 手动封
iptables -A INPUT -s 1.2.3.4 -j DROP

# 查询
iptables -L -n --line-number

# 删除 INPUT 第 3 条规则
iptables -D INPUT 3

八、常见坑

8.1 封了之后 SSH 自己进不去

症状：把整个机房 IP 段封了。

对策：

ignoreip 把内网/常用出口 IP 段加白名单
至少留一个"急救"通道（如 IPMI、Console、备用跳板）

8.2 重启服务后封禁丢失

iptables 规则在重启后清空。对策：

1
2
3
4
5
6
7
8


# CentOS
yum install iptables-services
systemctl enable iptables
service iptables save

# Ubuntu
apt install iptables-persistent
netfilter-persistent save

8.3 多网卡机器

chain = INPUT 即可默认全局生效。如果要区分内/外网卡，用 chain = FORWARD 配合路由。

8.4 日志被 logrotate 改名后 fail2ban 跟丢

backend = polling 改 backend = systemd（systemd 日志自动跟踪），或者在 /etc/logrotate.d/ 加 postrotate 通知 fail2ban。

九、卸载

1
2
3
4
5
6


# 清掉所有 fail2ban iptables 规则
iptables -L | grep f2b | awk '{print $NF}' | xargs -I{} iptables -F {}

/etc/init.d/fail2ban stop # 或 systemctl stop fail2ban
apt remove fail2ban -y
apt purge fail2ban -y # 删配置

小结

fail2ban 0.10+ 的核心是 filter 正则 + jail 策略：

SSH 默认就开（apt install 装完自带）
FRP 场景最关键——必须在 frps 端按 frps.log 真实 IP 拉黑
jail.local 永远比 jail.conf 优先（升级不会覆盖）
测试正则：fail2ban-regex 上线前必跑
iptables 持久化 否则重启失效

下一步：

配合 cloudflare action 封 CDN 后面的恶意 IP
用 recidive jail 二次封禁"被解封又来"的攻击者
集中化管理：多台机器用 fail2ban-web 或自建 dashboard

2024 视角：fail2ban 仍是经典，但 nftables 时代来了

2015 那篇基于 iptables。2024 视角下 nftables 已成事实标准——fail2ban 1.0+（2022-10 发布）已支持 nftables。

一、nftables 替代 iptables 是大势所趋

RHEL 8/9 / Fedora / Ubuntu 22.04+ / Debian 12+ 默认都是 nftables（iptables 命令其实是 nftables 的兼容层）。
fail2ban 1.0.x（2022-10 起）支持 banaction = nftables-multiport：

1
2
3
4
5


# /etc/fail2ban/jail.local
[DEFAULT]
banaction = nftables-multiport
banaction_allports = nftables-allports
chain = input

nftables 优势：
- 原子化更新（nft 是事务性的，iptables 改一条规则要逐条 add/delete）
- 规则集更紧凑（nft 的语法比 iptables 短 30-50%）
- 内建 set / map（无需 ipset 单独装）

1
2


# nftables 查 fail2ban 规则
nft list chain inet filter f2b-sshd

二、`recidive` 监狱——“二次封禁"防反复

2015 那篇提到 recidive。2024 实际配置：

1
2
3
4
5
6
7
8
9


# /etc/fail2ban/jail.local
[recidive]
enabled = true
filter = recidive
logpath = /var/log/fail2ban.log
bantime = 1w
findtime = 1d
maxretry = 5
banaction = %(banaction)s

效果：被解封后又来攻击的 IP，封一周。

三、Cloudflare Action——封 CDN 后面的 IP

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


# /etc/fail2ban/action.d/cloudflare.conf
[Definition]
actionban = curl -s -X POST "https://api.cloudflare.com/client/v4/zones/<ZONE_ID>/firewall/access_rules/rules" \
 -H "Authorization: Bearer <API_TOKEN>" \
 -H "Content-Type: application/json" \
 --data '{"mode":"block","configuration":{"target":"ip","value":"<ip>"},"notes":"Fail2ban"}'
actionunban = curl -s -X DELETE "https://api.cloudflare.com/client/v4/zones/<ZONE_ID>/firewall/access_rules/rules/<RULE_ID>" \
 -H "Authorization: Bearer <API_TOKEN>"

[Init]
RULE_ID =

1
2
3
4


[sshd-cloudflare]
enabled = true
filter = sshd
action = cloudflare

四、fail2ban + Telegram 告警

1
2
3
4
5


# /etc/fail2ban/action.d/telegram.conf
[Definition]
actionban = curl -s -X POST "https://api.telegram.org/bot<TOKEN>/sendMessage" \
 -d chat_id=<CHAT_ID> \
 -d text="Fail2ban: <ip> banned (<failures> failures)"

五、fail2ban 1.1 的新特性（2023-10）

持久化 SQLite 数据库（dbfile = /var/lib/fail2ban/fail2ban.sqlite3）——重启后封禁不丢。
database 升级：以前是 BerkeleyDB（要装 python3-pyasn1），现在用 SQLite。
正则引擎优化：Python 3.11+ 提速 20%。

六、CrowdSec：fail2ban 的"现代继任者”

CrowdSec（Go 写的现代版 fail2ban）2024 已成为更激进的选择：

1
2
3
4


# 装
curl -s https://packagecloud.io/install/repositories/crowdsec/crowdsec/script.deb.sh | sudo bash
sudo apt install crowdsec
sudo apt install crowdsec-firewall-bouncer-iptables

核心优势：
- 社区共享黑名单（CrowdSec 中心服务器聚合）
- Go 写（性能比 Python fail2ban 高 10 倍）
- bouncer 架构（解析 + 拉黑分离）
- PostgreSQL 存储（可查询历史）
2024 实践：fail2ban + CrowdSec 可以共存——fail2ban 处理本地 log，CrowdSec 接收社区信号。

七、fail2ban 在 Docker 时代的"困境"

fail2ban 装在 host 上时，它看不到容器里的日志（除非 mount log 目录到 host）。
fail2ban 装在容器里时，它改不了 iptables/nftables（容器网络是隔离的）。
2024 推荐方案：
- 方案 A：fail2ban 装 host，把容器日志 mount 出来（适合简单场景）
- 方案 B：用 CrowdSec + bouncer in container（更适合 K8s）
- 方案 C：直接上 WAF（Cloudflare / ModSecurity）—— 应用层防护

源文档：os/linux/第三方tools/safe/fail2ban/fail2ban.md（filter 模板、jail.local 多协议、FRP 集成）

安全 on Liangweidong's blog

Linux 安全：挖矿病毒清理、c3Pool 木马与 GVM 漏洞扫描实战

一、为什么是 2024 年这一份

二、挖矿病毒应急：c3Pool 木马清理

2.1 现象与定位

2.2 文件无法删除：chattr +i

2.3 c3Pool 矿池连接特征

2.4 完整清理流程

2.5 xmrig 自检配置

三、EDR 终端部署

3.1 简介

3.2 命令行部署

3.3 下载器部署

四、OpenVAS / GVM 漏洞扫描

4.1 简介

4.2 GVM 23.x 时代组件

4.3 安装（Debian/Ubuntu）

4.4 初始化

4.5 升级漏洞库

4.6 启动

4.7 修改 admin 密码

4.8 创建新用户

4.9 修改 Web UI 监听地址

4.10 查日志

4.11 典型 gvm-check-setup 输出（23.11）

五、漏扫告警体系建设

5.1 关键指标

5.2 集成方式

5.3 与企业 SIEM 集成

六、安全基线检查清单（2024 等保 2.0 视角）

七、前置知识 / 下一步

八、参考资源

OpenVAS/GVM 漏洞扫描：从原生安装到 Docker 化部署

一、为什么 2023 年要聊 OpenVAS / GVM

二、GVM 是什么、能做什么

三、方式一：apt 一键安装（Ubuntu 22.04）

3.1 装 GVM 包

3.2 初始化

3.3 检查

3.4 同步漏洞库

3.5 启停

3.6 改 Web UI 监听地址

3.7 加新用户

3.8 日志

四、方式二：docker-compose 集群化部署

4.1 拉取 yml 和镜像

4.2 启动

4.3 Web UI 访问

4.4 改远程访问

4.5 删除环境（危险操作）

五、gvm-check-setup 详解

六、典型任务：扫描一个网段

七、生产环境建议

7.1 走 Nginx 反代

7.2 走 LDAP/AD 集成

7.3 漏洞库同步策略

7.4 备份

八、典型坑速查

九、2024+ 视角补充

十、下一步

参考资料

Linux 安全加固：EDR 部署、OpenSSH 9.8 升级与挖矿病毒排查

一、为什么 2022 年要谈 Linux 安全加固

二、EDR Agent 一键部署

2.1 命令行部署（标准动作）

2.2 下载器部署（手动拷贝安装包）

2.3 验证

三、OpenSSH 升级：修 CVE-2020-15778

3.1 走系统源升级

3.2 源码编译升级（需要 9.8p1 完整版本）

3.2.1 装依赖

3.2.2 准备 PrivSep 目录

3.2.3 装额外依赖（Kerberos / PAM / SELinux）

3.2.4 下载 + 编译

3.2.5 重启 + 验证

四、挖矿病毒应急排查

4.1 排查步骤

第 1 步：看 CPU 占用

第 2 步：查网络连接

第 3 步：查定时任务

2.2 文件无法删除：`chattr +i`

4.11 典型 `gvm-check-setup` 输出（23.11）

六、挖矿病毒应急：`chattr +i` 防删与解除

二、`/var/log/secure` 改名 → journald

1. 账号体系：`user@host` 二元组