Linux安全应急响应检查脚本

简介

Linux安全应急响应检查脚本是一个综合性的系统安全检测工具，用于快速发现Linux系统中的安全问题和潜在威胁。该脚本通过全面收集和分析系统信息，帮助安全人员在应急响应过程中快速识别可能的入侵痕迹和安全漏洞。

主要功能

• • 系统基础信息收集：内核版本、系统版本、运行时间、系统资源等
• • 进程检查：CPU/内存使用率TOP分析、隐藏进程检测
• • 网络连接分析：监听端口、已建立连接、网络接口配置等
• • 用户账户检查：活跃用户、登录历史、权限异常用户检测
• • 文件系统检查：可疑文件检测、SUID/SGID文件、敏感目录权限
• • 历史命令检查：用户历史命令分析
• • 计划任务检查：系统和用户计划任务异常检测
• • 日志分析：系统日志、认证日志、安全日志异常检测
• • 恶意文件扫描：查找可疑脚本、Webshell等恶意文件
• • 高级威胁检测：异常外部连接、伪装系统进程等
• • SSH日志安全分析：SSH爆破检测、可疑登录分析
• • Rootkit检测：隐藏进程、隐藏端口、可疑内核模块检测
• • 系统安全基线检查：密码策略、SSH配置、文件权限等安全基线检查

使用方法

基本用法

bash linux.sh

将结果保存到文件

bash linux.sh -o 安全检查报告.txt

查看帮助信息

bash linux.sh -h

参数说明

• • -o <文件>：将检查结果保存到指定文件
• • -h：显示帮助信息

系统要求

• • Bash shell环境
• • 需要root权限运行
• • 支持大多数Linux发行版（Debian/Ubuntu/CentOS/RHEL等）
• • 常用系统工具（ps, netstat/ss, ip/ifconfig, find等）

安装方法

1. 1. 下载脚本文件到本地

   wget https://your-domain.com/linux.sh

   或者从本仓库克隆：

   git clone https://github.com/your-username/linux-security-check.git
   cd linux-security-check

2. 2. 添加执行权限

   chmod +x linux.sh

3. 3. 以root权限运行

   sudo ./linux.sh

输出说明

脚本输出被分为多个主要部分，每部分包含特定类型的安全检查结果：

1. 1. 系统基础信息：系统和内核版本信息
2. 2. 系统进程检查：异常进程、资源占用分析
3. 3. 网络连接：网络接口、路由表、ARP表等
4. 4. 用户检查：用户账户和权限分析
5. 5. 文件系统检查：敏感文件、异常权限分析
6. 6. 历史命令检查：用户执行的历史命令
7. 7. 计划任务检查：异常计划任务检测
8. 8. 日志检查：系统各类日志分析
9. 9. 恶意文件扫描：可疑文件检测
10. 10. 高级威胁检测：深度分析系统异常

注意事项

• • 此脚本需要以root权限运行以获取完整的系统信息
• • 脚本运行时可能会消耗较多系统资源，建议在系统负载较低时执行
• • 输出结果仅供参考，需安全专业人员进一步分析判断
• • 某些检查项依赖特定命令，如这些命令不存在可能会跳过相关检查