操作系统安全攻防基础
理解安全攻防不是为了炫技,而是为了更好地设计防线。操作系统层面的身份、权限、漏洞、补丁、审计和隔离决定了攻击面大小。
# 1. 学习目标
- 认识常见系统攻击路径和防护思路。
- 理解漏洞、提权、横向移动、持久化和数据窃取。
- 能把安全要求落实到主机、服务、容器和终端。
# 2. 知识框架
操作系统安全攻防基础
├─ 入门:建立术语、对象和日常操作的直觉
├─ 进阶:理解机制、边界和跨平台差异
└─ 专家:能排障、能设计、能阅读实现和研究材料
防守视角可以按攻击链设计:入口防护、最小权限、横向隔离、行为检测、日志审计、备份恢复。
# 3. 核心概念
| 主题 | 说明 | 工程关注 |
|---|---|---|
| 攻击面 | 系统暴露给外部或低权限主体的入口 | 端口、服务、账号、依赖 |
| 提权 | 从低权限获得更高权限 | 漏洞、错误配置、凭据泄漏 |
| 持久化 | 攻击者维持访问的机制 | 启动项、服务、计划任务、后门 |
| 审计 | 记录关键行为以便检测和复盘 | 登录、权限变更、进程、网络 |
# 4. 机制与实践
- 定期补丁、关闭无用服务、限制远程登录和强制密钥/多因素认证。
- 敏感主机启用审计、入侵检测和集中日志。
- 备份要离线或隔离保存,并定期演练恢复。
# 5. 常用命令与工具
| 命令或工具 | 作用 | 使用建议 |
|---|---|---|
ss -lntup | Linux 查看监听端口 | 梳理攻击面 |
Get-NetTCPConnection -State Listen | Windows 查看监听连接 | 端口审计 |
last | 查看 Linux 登录历史 | 排查异常登录 |
# 6. 常见误区
- 只装安全软件就放心:安全软件只是防线之一,配置、权限、补丁和监控同样重要。
- 凭据散落在脚本里:硬编码密钥会被日志、仓库、镜像或备份泄漏。
- 备份和生产同权限:攻击者入侵后可能同时删除备份,恢复能力失效。
# 7. 进阶研究方向
- 学习 MITRE ATT&CK 中主机相关技术。
- 研究 Linux auditd、Windows Sysmon 和 EDR 的日志价值。
- 做一次最小权限和密钥暴露的内部检查。
# 8. Tips 快问快答
Q:安全加固最基础做什么?
A:补丁、账号、远程登录、端口、权限、日志、备份和密钥治理。
Q:为什么备份也要隔离?
A:勒索或入侵可能删除在线备份,隔离备份能保留恢复能力。
Q:攻防知识对开发者有什么用?
A:能帮助开发者理解配置错误、权限扩大和凭据泄漏的真实风险。
# 9. 总结
操作系统安全是分层防守。越早减少攻击面,越细控制权限,越完整保留审计,事故影响就越可控。
上次更新: 2026/06/25, 10:02:19