伺服器安全稽核是對伺服器暴露面與組態進行系統性審查,目的是找出攻擊者可能從何處入侵,以及進入之後能做些什麼。如果你被要求委託一次稽核,或者想進行一次內部審查,本指南將準確說明一次徹底的稽核究竟檢查哪些內容,以及每個領域為何重要。
稽核是診斷性的:它告訴你目前所處的狀況。它自然而然地與強化 相配合,強化就是修復稽核所發現問題的工作。
重點摘要(TL;DR)
- 伺服器稽核會審查攻擊面、作業系統與服務組態、修補程式狀態、存取控制、網路與防火牆設定以及監控
- 通常會將伺服器與公認標準(例如 CIS Benchmark)進行基準比對
- 它包括惡意軟體與 rootkit 掃描,以及對記錄的審查,以便入侵行為能夠真正被偵測到
- 產出應當是可據以行動的、按優先順序排列並依風險分級的發現清單,而不是原始的掃描器傾印
1. 攻擊面審查
第一項工作是確定伺服器實際暴露了什麼。
- 列舉所有正在監聽的服務與開放的連接埠,並確認每一項都是刻意設定的。
- 區分面向網際網路的服務,以及那些本應僅限內部的服務。
- 標記那些在不帶來價值的情況下擴大攻擊面的過時或不必要的服務。
2. 作業系統與組態稽核
- 檢查作業系統的版本與支援狀態;已到生命週期終點(end-of-life)的作業系統是長期存在的風險。
- 將組態與公認標準進行對照審查,通常是針對該發行版的 CIS Benchmark 。
- 評估作業系統與已安裝軟體的修補程式狀態,並檢查是否已啟用自動安全性更新。
3. 存取控制與身分驗證
- 審查使用者帳戶與服務帳戶,移除過時的、預設的與未使用的帳戶。
- 依最小權限原則稽核
sudo與權限指派。 - 檢查 SSH 組態:以金鑰為基礎的身分驗證、停用 root 登入、停用密碼身分驗證以及暴力破解(brute-force)防護。
- 檢查管理存取是否啟用多因素驗證(MFA)。
4. 防火牆與網路分段
- 確認 firewall 遵循預設拒絕(default-deny)原則,且僅開放所需的連接埠。
- 審查網路分段,使得某一台主機遭入侵後不會取得在網路中自由移動的能力。
- 檢查管理介面是否被限制為僅可信來源或 VPN 存取。
5. 惡意軟體與 rootkit 偵測
- 執行惡意軟體與 rootkit 掃描,以偵測已存在的入侵。
- 執行檔案完整性檢查,以識別對系統二進位檔與組態的意外變更。
6. 記錄、監控與偵測
- 核實與安全相關的事件是否被記錄(例如透過
auditd)並被保留。 - 確認記錄被傳送到主機之外,使其不會被攻擊者輕易抹除。
- 檢查可疑活動是否會觸發警示,以便入侵行為能夠真正被察覺。
7. 資料保護與備份
- 確認敏感資料在靜態儲存時與傳輸中均已加密。
- 核實備份確實存在、儲存在伺服器之外,並已透過還原進行過測試。
- 檢查是否存在復原流程且已形成文件。
好的產出是什麼樣子
一次有用的稽核不會只丟給你一份原始的掃描器報告。它交付依風險分級、按優先順序排列的發現,並附有清楚的修復步驟,讓你知道該先修復什麼以及原因。任何人都能執行掃描器;價值在於專家的解讀、誤報的排除,以及針對真實世界風險的優先排序。
關鍵要點
- 伺服器安全稽核會審查攻擊面、組態、修補、存取控制、網路設定、惡意軟體與監控。
- 應當預期它會與 CIS 等公認標準進行基準比對,並包含惡意軟體與 rootkit 掃描。
- 交付物應當是按優先順序排列、依風險分級並附有修復指引的發現,而不是掃描器傾印。
- 稽核負責診斷;強化負責修復。兩者應搭配使用。
取得專業的伺服器安全稽核
一次徹底的稽核會受益於經驗豐富的眼光,它知道哪些發現才真正重要。伺服器安全稽核服務 涵蓋完整的攻擊面審查、CIS Benchmark 對齊、惡意軟體與 rootkit 偵測、網路分段審查以及一份依優先順序排列的強化報告。一旦你了解了自己所處的狀況,Linux 伺服器強化服務 與強化指南 會負責修復工作。
常見問題(FAQ)
什麼是伺服器安全稽核? 一種對伺服器暴露面與組態的系統性審查,用於識別安全弱點,涵蓋攻擊面、作業系統與服務組態、修補程式狀態、存取控制、網路設定、惡意軟體與監控。它告訴你哪裡存在脆弱性以及如何修復。
稽核與強化有何不同? 稽核是診斷性的:它發現並對弱點排定優先順序。強化則是修復這些弱點的整改工作。你透過稽核了解自己所處的狀況,然後透過強化來彌補缺口。
伺服器稽核包含惡意軟體掃描嗎? 徹底的稽核包含。除了組態審查之外,它還應包括惡意軟體與 rootkit 掃描以及檔案完整性檢查,以偵測任何已存在的入侵,而不僅僅是未來的風險。
伺服器稽核應當依據什麼標準來衡量? 針對你作業系統的 CIS Benchmark 是常見的基準。它提供一套客觀且針對特定發行版的標準,使發現可衡量、可重現,而非主觀判斷。
我們應當多久稽核一次伺服器? 應定期進行,並在發生重大變更之後進行,因為組態會發生漂移、新的漏洞會不斷出現。許多組織會將每年或每半年一次的深入稽核與其間持續的自動修補與監控結合起來。
評論