Linux安全加固常用命令速查
Linux
Ubuntu
cat /etc/os-release #主要看发行版本
PRETTY_NAME="Ubuntu 22.04.4 LTS"
NAME="Ubuntu"
VERSION_ID="22.04"
VERSION="22.04.4 LTS (Jammy Jellyfish)"
VERSION_CODENAME=jammy
ID=ubuntu
ID_LIKE=debian
HOME_URL="https://www.ubuntu.com/"
SUPPORT_URL="https://help.ubuntu.com/"
BUG_REPORT_URL="https://bugs.launchpad.net/ubuntu/"
PRIVACY_POLICY_URL="https://www.ubuntu.com/legal/terms-and-policies/privacy-policy"
UBUNTU_CODENAME=jammycat /proc/version
Linux version 5.15.0-113-generic (buildd@lcy02-amd64-072) (gcc (Ubuntu 11.4.0-1ubuntu1~22.04) 11.4.0, GNU ld (GNU Binutils for Ubuntu) 2.38) #123-Ubuntu SMP Mon Jun 10 08:16:17 UTC 2024top # 进程占用
隐藏进程top
mkdir " "
mv /usr/bin/top ./" "
vim usr/bin/top
#! /bin/bash
命令盒子
busybox
从这里面掏命令使用,防止top的隐藏进程
进程
top
ps -ef
lsof # 打开的文件
lsof -p pid 查看目标程序的位置
网络连接
netstat -pantu
ss
杀进程
kill -9 pid # -9强制删除
用户
useradd zifei
passwd zifei
zifei
vim ./etc/passwd
00
login
sudo
/etc/sudoers
存放可以执行sudo的用户
环境变量
/etc/profile
/etc/bash.bashrc
用户登录的时候加载上面两个文件
家目录下也有这两个文件,不同的地方在于一个全部加载,一个是当前用户登录才回加载
服务文件
systemctl status docker
查看配置文件的位置,配置文件可能被修改

计划任务
crontab -l # 查看计划任务

/etc/cronab 计划任务的全局文件


suid
排查suid二进制文件,可能会被用来提权
Linux日志分析
/var/log/auth.log # ubuntu
/var/log/secure #
cat auth.log | grep "Failed" | awk -F " " '{print $13}'
cat auth.log | grep "Failed" | awk -F " " '{print $13}' | uniq -c ## 统计 ,但是值统计相邻两行之间出现的次数
grep -e 是或者的意思
-v 相反的意思
-i 忽略大小写
-n 行号
-a 可以查看二进制文件的内容
-A n(after) 查看命中的选项之后的五条命令
-B n(before)之前的条
-C 上下各五条
-E 正则表达式