#0108 你的家用服务器,做过安全体检吗?

type
Post
status
Published
date
Feb 9, 2026
slug
302a745569bb817dacebd596d3593175
summary
大多数人买了 Mac Mini 或树莓派当家庭服务器,装好系统、跑起服务就完事了。 但你有没有想过:这台 24 小时开机的设备,可能是你家里最脆弱的入口?
tags
交易
新闻
工具
category
生活
icon
password

你的家用服务器,做过安全体检吗?

大多数人买了 Mac Mini 或树莓派当家庭服务器,装好系统、跑起服务就完事了。
但你有没有想过:这台 24 小时开机的设备,可能是你家里最脆弱的入口?

背景:一次真实的供应链投毒事件

这次安全体检不是心血来潮,而是因为一个真实的安全事件。
最近有人在开源社区发现了供应链投毒攻击——攻击者把恶意代码伪装成正常的插件或扩展,发布到社区市场里。一旦用户安装,恶意代码就能接管你的系统:读取敏感文件、窃取密钥、甚至作为跳板攻击其他设备。
这种攻击的可怕之处在于:你主动安装的东西反而是武器。你以为你在装一个好用的工具,实际上你在给攻击者开门。
所以我做了一次完整的安全自查,把整个过程和方法分享出来。不管你用什么系统,这套检查思路都适用。

检查方式:6 步安全体检法

第一步:IOC 文件扫描

IOC(Indicators of Compromise)是安全领域的术语,说白了就是「被入侵的痕迹」。
具体做法:
准备一份已知恶意文件名清单(从安全通报、CVE 公告中收集),然后在关键目录里逐一搜索:
  • /tmp/var/tmp — 临时目录,恶意软件最爱藏身的地方
  • ~/Downloads~/Desktop — 用户常接触的目录
  • ~/Documents — 文档目录
  • 你的工具/自动化系统的安装目录
find 命令按文件名搜索,比如:
💡 关键是要有一份具体的恶意文件名清单,而不是漫无目的地找。安全通报里通常会列出涉及的文件名,直接拿来用就行。
我的结果: 用 11 个已知恶意文件名搜索了 5 个关键目录,全部未发现。✅

第二步:插件 / 扩展目录深度扫描

如果你用了任何支持第三方插件的工具(IDE、自动化平台、包管理器),这步必须做
扫什么:
  • Base64 编码 — 攻击者常用来隐藏恶意载荷
  • 远程执行命令 — 比如 eval()exec()child_process 等危险函数
  • 恶意域名或 IP — 已知的 C2(Command & Control)服务器地址
  • 密码窃取特征 — 尝试读取密钥文件、Cookie、浏览器数据的代码
  • 数据外传特征 — 将本地文件上传到外部服务器的行为
可以用 grep 批量搜索:
💡 不只要查第三方插件,内置插件也要查。有些供应链攻击会替换系统自带的依赖包。
我的结果: 所有插件目录扫描完毕,未发现恶意特征。✅

第三步:网络连接检查

你的服务器在跟谁说话?
检查三个方向:
  • 出站连接 — 有没有到已知恶意 IP 的连接?
  • DNS 缓存 — 有没有解析过恶意域名?
  • 异常端口 — 有没有不该存在的端口在监听?
macOS:
Linux:
DNS 缓存检查(macOS):
💡 特别关注 0.0.0.0 监听的端口——这意味着任何人都能连进来。如果服务只给本地用,绑定到 127.0.0.1 就够了。
我的结果: 无恶意 IP 连接,DNS 缓存干净,无异常端口。✅

第四步:系统完整性检查

这步检查的是:有没有人在你的系统里埋钉子
检查清单:
  • LaunchAgents / LaunchDaemons(macOS)或 systemd services(Linux)— 有没有你不认识的自启动项?
  • crontab — 有没有你没设过的定时任务?
  • 进程列表 — 有没有随机名称的可疑进程?
💡 正常的 LaunchAgent 名称通常是 com.apple.xxx 或你安装的软件名。如果看到一串随机字符——那就有问题了。
我的结果: 自启动项全部已知,无异常 crontab,无可疑进程。✅

第五步:敏感数据泄露检查

如果有人入侵过你的系统,他们最感兴趣的就是:密钥、凭证、个人数据。
检查清单:
  • SSH 密钥~/.ssh/ 目录的文件修改时间是否异常?权限是否正确(应该是 600)?authorized_keys 有没有被加入陌生公钥?
  • GPG / 云服务凭证~/.gnupg/~/.aws/ 等目录是否存在未授权访问?
  • 敏感数据目录 — 存放个人数据的目录,权限是否为 700(只有你能访问)?最后访问时间是否合理?
  • 异常压缩包 — 近 7 天有没有你没创建的 .zip.tar.gz 文件?(数据打包外传的常见手法)
💡 一个反直觉的点:没有 GPG 目录反而是好事。如果你没用过 GPG 但突然发现了 ~/.gnupg/ 目录——有人可能在你的系统上操作过加密。
我的结果: SSH 密钥未被篡改,敏感目录权限正确(700),无异常压缩包。✅

第六步:第三方安装审计

回到这次检查的起因——供应链攻击。
问自己一个问题:你安装的每一个第三方插件/扩展,你都信任它的来源吗?
检查方法:
  • 列出所有安装的第三方插件
  • 逐一确认来源(官方 vs 社区 vs 未知)
  • 对来源不明的插件,直接卸载
💡 最安全的策略其实很简单:能自己写的就不装别人的。如果一定要用第三方的,选择社区活跃、有大量用户验证的项目。
我的结果: 所有插件均为自建,从未安装任何第三方来源不明的扩展。✅(这也是这次安全的最大保护因素)

综合结论

六步检查全部通过。但这不代表可以高枕无忧——安全是持续的过程,不是一次性的。
关键保护因素总结:
  • 从未安装来源不明的第三方插件
  • 敏感数据目录权限正确(700,只有所有者可访问)
  • 没有暴露在公网的异常端口
  • 自启动项全部可追溯
  • SSH 密钥未被篡改

建议频率

  • 事件驱动 — 看到安全通报就立刻查一遍(就像这次)
  • 每周 — 快速扫描可疑文件和网络连接
  • 每月 — 完整走一遍六步检查
  • 每次装新工具后 — 看看它开了什么端口、加了什么文件
更好的做法是把这些检查自动化——写个脚本定时跑,有异常就通知你。别等出事了才想起来查。

最后

安全不是一次性的事,是持续的习惯。
就像体检一样——不做不代表没问题,只是你不知道而已。
你的服务器可能存着代码、密钥、自动化流程,甚至个人数据。花 20 分钟做次体检,比出事后花 20 小时恢复划算多了。
今天就查一遍?
Loading...

© xiyu 2022-2026