Linux 安全习惯 #14：在查看日志之前，我先快照网络状态

Source: Dev.to

为什么日志不应该是第一步

• 日志可能会被轮转。
• 如果系统被入侵，几乎总是需要实时的网络活动。

这就是我在阅读任何日志行之前先快照网络状态的原因。一次快照往往在 30 秒内提供的信息，比日志在 30 分钟内能提供的要多得多。

DNS 行为

进行快照会“冻结”当时的瞬间。即使攻击者在几秒后断开连接，你也已经拥有了网络上发生了什么的证据。

为什么这个习惯很重要

先捕获网络快照可以避免事件响应中最糟糕的错误：依据不完整或误导性的日志数据采取行动。

如果你想实现自动化

我编写了一个小工具来自动化这一习惯。

🔐 Incident Snapshot & Evidence Generator (Linux)

它运行快速，不会修改系统状态，并为你提供一个干净的证据包，以便冷静分析。

在事故发生前加强 SSH

如果 SSH 暴露是你的威胁模型的一部分，这可以帮助实时捕获攻击。

🔐 SSH‑IDS — Real‑Time SSH Intrusion Detection for Linux

免费检查清单（无垃圾邮件）

如果你想在问题出现前正确加固 SSH：

📄 Free SSH Hardening Checklist (PDF)

最后思考

日志告诉你哪些东西存活下来。先捕获实时网络状态可以为你提供理解事件如何展开的上下文。