🛡️ Module 06: Endpoint Security - Linux Systems
本模組專注於 Linux 系統的防禦策略。作為網路防禦者 (Blue Team),了解 Linux 架構至關重要,因為大多數的伺服器、雲端基礎設施 (Cloud Infrastructure) 以及 IoT 設備皆運行於 Linux 核心之上。我們不談攻擊,我們談如何讓系統堅不可摧。
核心目標:掌握 OS 強化 (Hardening)、最小權限原則 (Least Privilege) 與日誌監控 (Log Monitoring)。
權限與使用者管理 (User & Permission)
Linux 安全的核心在於權限控制。所有的檔案與程序都歸屬於特定的 User 與 Group。
防禦重點:
- 禁止 Root 直接遠端登入 (SSH)。
- 使用 sudo 進行特權操作,並限制 sudoers 檔案。
- 理解 rwx (Read/Write/Execute) 權限模型。
$ chmod 755 script.sh
# 擁有者: rwx (7)
# 群組: r-x (5)
# 其他人: r-x (5)
最小化服務 (Minimize Footprint)
攻擊面 (Attack Surface) 與運行的服務數量成正比。不必要的服務就是潛在的漏洞。
防禦策略:
- 使用 `systemctl` 停用未使用的服務。
- 移除不必要的軟體包 (Packages)。
- 關閉不必要的網路埠口 (Ports)。
$ systemctl stop postfix
$ systemctl disable postfix
$ netstat -tulpn # 檢查聆聽埠口
SSH 強化 (SSH Hardening)
SSH 是 Linux 最重要的管理通道,也是暴力破解的主要目標。
關鍵配置 (/etc/ssh/sshd_config):
- PermitRootLogin no:禁止 Root 登入。
- PasswordAuthentication no:強制使用金鑰認證。
- Port 2222:更改預設埠口 (Security by Obscurity,輔助用)。
防火牆配置 (Iptables / Firewalld)
Linux 核心內建 Netfilter 防火牆。管理員需配置規則以過濾流量。
Iptables 概念:
- INPUT Chain:進入本機的流量。
- OUTPUT Chain:本機發出的流量。
- FORWARD Chain:路由轉發的流量。
# 允許 SSH, HTTP 並拒絕其他進入流量
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -P INPUT DROP
日誌監控 (Log Monitoring)
日誌是偵測入侵的最後一道防線。必須確保日誌的完整性與可追溯性。
關鍵日誌檔:
- /var/log/auth.log (或 secure):認證與授權紀錄 (sudo, ssh)。
- /var/log/syslog (或 messages):系統一般訊息。
- dmesg:核心緩衝區訊息 (硬體/驅動)。
Mandatory Access Control (MAC)
除了傳統的 DAC (擁有者權限),MAC 提供了更細粒度的控制,限制程序只能存取特定資源。
主流方案:
- SELinux (Security Enhanced Linux):RedHat 系預設。使用 Context 標籤。
- AppArmor:Debian/Ubuntu 系預設。使用 Profile 設定檔。