- 常见问题
- 谛听告警事件参考性解决方案
【登录事件】
- 加强密码强度,尽量避免使用弱密码等;
- 定期去执行last,查看登录日志;
- 时刻做好安全应急防范工作。
【运行命令】
- 检查现有服务的权限,尽量避免以root权限启动 tomcat、Apache 等服务。
【可疑请求】
- 可尝试使用 tcpdump 跟踪访问者的行为日志。
【建立连接】
- 加强密码强度,尽量避免使用弱密码等;
- 添加验证机制。
【文件事件】
- 运维脚本规范,避免在脚本中存在数据库连接、明文用户名密码等相关信息。
【TCP SYN】
- 出现大量扫描信息时,请及时阻断源 IP 的访问请求;
- 了解企业外网端口的开放情况,看是否存在容易被利用导致入侵的点,并针对高危端口及时修补漏洞,以降低系统被从外部直接入侵的概率。
【未授权访问】
- 增加访问权限设置;
- 对可疑资源可以访问的主机地址进行限制。