一、说明

本文是接着上一篇文章的，没看过上一篇文章的可以先看上一篇：等级保护主机安全：CentOS入侵防范（一）

这篇文章主要说一说入侵防范中和主机有关的剩下两个测评项。

PS：这里说的都是正式版2.0的内容。

二、测评项

这2个测评项内容如下：

e)应能发现可能存在的已知浦洞，并在经过充分测试评估后，及时修补漏洞；

f)应能够检测到对重要节点进行入侵的行为，并在发生严重入侵事件时提供报警。

三、 测评项e

e)应能发现可能存在的已知浦洞，并在经过充分测试评估后，及时修补漏洞；

这种要看被测评方自己是否有定期使用第三方工具进行漏洞扫描（比如安恒漏洞扫描工具等），查看每次扫描的扫描报告。

另外很多杀毒软件都有漏洞扫描的功能，但是在linux系统上还能扫描漏洞的，不是没有，但是我没遇到过……

我遇到过的就一个卡巴斯基的linux版本，有那么一丁点的漏洞扫描功能（因为能扫描到的漏洞的范围极窄）。

另外对于补丁，可以用rpm -qa | grep patch来查看安装的一些补丁，但是有些时候人家是直接用更新的组件，这个命令是查不出来的。

比如openssh的低版本存在很多漏洞，这种情况下直接用更高版本的openssh就能解决问题了，而不是去打补丁。

还有是否具备测试环境，在发现漏洞后现在测试环境中进行测试、评估，然后再修补漏洞。

所以这一个测评项，主要还是靠访谈，然后再去取证，自己在主机上查配置基本查不出啥东西。

四、测评项f

f)应能够检测到对重要节点进行入侵的行为，并在发生严重入侵事件时提供报警。

4.1. 说明

其实对于主机的入侵按照初级教程而言，主要是系统入侵和远程入侵两种。

系统入侵主要是指在拥有一个低级账户的权限下通过系统漏洞进行提权，得到更高的管理权限，然后进行破坏。

那么，系统入侵一方面主要是看系统本身是否存在有什么高危漏洞。另外一点其实就和访问控制有关，是否做好了比较细致的访问控制。

如果系统本身不具备什么高危漏洞，而且访问控制做得比较细致、有效的话，那么就算入侵者拿着具备低级权限的账户，也不会造成什么大的破坏（因为很难提权）。

而远程入侵则是利用网络进行端口扫描或者漏洞扫描，所以对于这种入侵，在主机层面上，当然第一点的仍然是系统本身是否存在高危漏洞。第二点就是是否关闭了多余的端口、对端口进行限制等。

下面说一说和入侵防范相关的软件、方法。

4.2. 软件类

在linux主机上能实现比较全面防入侵的软件我没遇到够，有一定的防入侵功能的软件，我遇到的就两个：

一个是深信服EDR，具体功能如下：

它也具有报警功能：

一个就是卡巴斯基的linux版本，它好像具有比较浅层的防入侵功能。

至于报警功能的话，它也具有：

4.3. 系统防火墙

系统防火墙本身并不具备什么防入侵、检测入侵的功能，但是如果系统防火墙开启而且确实关闭了多余的端口，对于需要使用的端口做了源ip限制的话，或多或少还是能起到一定的功能的。

毕竟入侵的常用方法之一就是扫端口，然后看哪有漏洞，再进行入侵。

4.4. 查看日志

如果被测评方经常查看相关日志的话，也能起到少许的入侵检测的作用。

比如查看/var/log/secure等日志，或者查看系统防火墙日志（如果开启防火墙并做了策略），又或者设置了audit的审计规则，查看audit的审计日志等。

常见的系统日志说明如下：

4.5. 安全设备

比如基于主机的IDS设备，又或者查看网络拓扑图，是否部署了IDS、IPS。

4.6. 云

如果是部署在云上，比如阿里云，那么都会有一些安全产品、服务可以购买的，比如云盾、安骑士等。

另外，如果是云上的话，一般都存在一个端口安全策略，比如要远程登录某主机的话都需要向客服提交工单申请对ip开放远程端口：

五、 总结

这两个测评项比较麻烦，因为想要实现测评项的要求，其实主要依靠第三方软件或者设备。

如果被测评方没有使用什么第三方软件或者设备，那很好办，写没有就行了。

麻烦的地方是如果对方用了第三方软件或者设备，但是你不清楚这个软件具体具备什么功能，他也不清楚或者知道的比较模糊的话，就比较抓瞎了。

特别是对于反入侵，很多时候在软件界面上并不会明确的告诉你具体具备什么反入侵功能，只有一个是否开启的选项而已……

这方面没有什么比较好的解决方案，唯有靠慢慢的积累经验吧。

*本文原创作者：起于凡而非于凡 ，本文属于FreeBuf原创奖励计划，未经许可禁止转载