RockyLinux安全事件调查全流程指南（手把手教你排查系统异常与入侵行为）

第一步：确认异常现象

调查的第一步是明确“异常”是什么。常见迹象包括：

• CPU 或内存使用率异常飙升
• 未知进程或服务运行
• 大量异常网络连接
• 用户账户被创建或权限被提升
• 网站被挂马或跳转到恶意页面

第二步：隔离系统（如必要）

若怀疑系统已被攻陷，为防止横向移动或数据泄露，建议先将其从网络中隔离（断开网线或禁用网卡）。但注意：如果需要实时取证（如内存分析），请谨慎操作。

第三步：检查系统日志（RockyLinux日志分析）

RockyLinux 使用 systemd-journald 和 rsyslog 管理日志。关键日志文件包括：

• /var/log/messages：系统全局日志
• /var/log/secure：SSH 登录、sudo 操作等安全相关日志
• /var/log/auth.log（部分系统）：认证日志
• journalctl 命令：查看实时日志

常用命令示例：

# 查看最近100条安全日志sudo tail -n 100 /var/log/secure# 查找所有失败的SSH登录尝试sudo grep "Failed password" /var/log/secure# 使用 journalctl 查看今日所有日志sudo journalctl --since today# 查看特定用户的登录历史last username

第四步：检查可疑进程与网络连接

使用以下命令识别异常进程和网络行为：

# 查看所有运行中的进程（按CPU排序）top# 或使用更友好的 htop（需安装）sudo dnf install -y htop && htop# 查看所有网络连接ss -tulnp# 查看监听端口及对应程序netstat -tulnp | grep LISTEN

若发现陌生进程（如 minerd、kthreadd 等伪装进程），记录其 PID 并进一步分析。

第五步：检查用户账户与计划任务

攻击者常创建后门账户或设置定时任务维持访问权限。

# 查看所有用户awk -F: '$3 >= 1000 {print $1}' /etc/passwd# 检查 sudo 权限用户grep -v "^#" /etc/sudoers# 查看 root 用户的 crontabsudo crontab -l# 查看系统级计划任务ls -la /etc/cron.d/cat /etc/crontab

第六步：文件完整性检查（RockyLinux入侵检测）

使用 AIDE（Advanced Intrusion Detection Environment）可帮助检测关键系统文件是否被篡改。

# 安装 AIDEsudo dnf install -y aide# 初始化数据库（首次运行）sudo aide --initsudo mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz# 执行完整性检查sudo aide --check

若输出显示文件被修改（如 /bin/bash、/etc/passwd），需高度警惕。

第七步：生成报告并加固系统（RockyLinux系统安全）

调查结束后，应：

1. 记录所有发现（时间、IP、进程、文件路径等）
2. 删除恶意账户、清除后门、移除计划任务
3. 更新系统：sudo dnf update -y
4. 配置防火墙（firewalld）限制不必要的端口
5. 启用 Fail2ban 防止暴力破解
6. 定期备份并测试恢复流程

总结

通过以上七个步骤，即使是 Linux 新手也能系统性地完成一次 RockyLinux安全事件调查。关键在于保持冷静、循序渐进，并善用日志与工具。记住，预防胜于治疗——定期更新、最小权限原则和监控机制是保障 RockyLinux系统安全 的基石。

本文涵盖了 RockyLinux日志分析、RockyLinux入侵检测 等核心技术点，适合运维人员、安全初学者参考使用。