账户安全:

1、用户信息文件/etc/passwd

# 格式:账号:密码:UID:GID:GECOS:目录:shell

根:x:::根:/根:/bin/bash

# 查看登录用户:

猫 /etc/passwd | grep /bin/bash

awk -F: '$3u003du003d0{print $1}' /etc/passwd

更多 /etc/sudoers | grep -v "^#|^$" | grep“全部u003d(全部)”

注:无密码只允许本地登录,不允许远程登录

2、影子文件:/etc/shadow

# 用户名:加密密码:最后一次密码修改日期:两次密码修改的时间间隔:密码有效期:密码修改过期后的警告天数:密码后的宽限天数过期:账户过期时间:保留

根:$6$oGs1PqhL2p3ZetrE$X7o7bzoouHQVSEmSgsYN5UD4.kMHx6qgbTqwNVC5oOAouXvcjQSt.Ft7ql1WpkopY0UV9ajBwUt1DpYxTCVvI/:16809::99999:7:::

3、查看当前登录用户和登录时长

who #查看当前登录系统的所有用户(tty本地登录,pts远程登录)

w # 显示登录系统的用户和正在执行的指令

uptime # 查看登录时间、用户数和负载状态

4、查看用户登录信息

查看最近成功登录的用户和信息

# 显示已登录表示用户仍处于登录状态

最后

查看最近登录失败的用户和信息:

# SSH 表示从 SSH 远程登录

须藤最后一个

显示所有用户的最新登录信息:

最后日志

检查服务器时,黑客不在线。可以使用last命令查看黑客何时登录。有些黑客在登录时会删除或清空/var/log/wtmp文件,所以我们无法使用last命令获取有用信息。

黑客攻击前,必须使用chatr + A 锁定/var/log/wtmp文件,避免被黑客删除

5\。须藤用户列表

/etc/sudoers

入侵检测:

# 查询特权用户(uid为0):

awk -F: '$3u003du003d0{print $1}' /etc/passwd

awk '/$1|$6/{打印 $1}' /etc/shadow

更多 /etc/sudoers | grep -v "^#|^$" | grep“全部u003d(全部)”

usermod -L user #禁用账号,账号无法登录,/etc/shadow第二列是!开始

userdel user #删除用户

userdel -r user #user用户会被删除,/home目录下的用户目录也会一起被删除

通过 bash\history 文件查看账户执行的系统命令:

打开每个账户目录下的/home bash_history,查看普通账户执行的历史命令。

为历史命令添加登录IP地址、命令执行时间等信息:

# 1. 保存10000条命令:

sed -i 's/^HISTSIZEu003d1000/HISTSIZEu003d10000/g' /etc/profile

用户_IPu003d`who -u am i 2>/dev/null | awk '{print $NF}' | sed -e 's/[()]//g'`

如果 [ "$USER_IP" u003d "" ]

那么

用户_IPu003d`hostname`

菲

导出 HISTTIMEFORMATu003d"%F %T $USER_IP `whoami`"

商店 -s hisstappend

导出 PROMPT_COMMANDu003d"history -a"

源 /etc/profile

注:清除历史操作命令:history -c

该操作不会清除文件中保存的记录,需要手动删除bash_profile文件中的记录

检查端口连接:

网络统计-antlp |更多的

使用ps命令分析进程,得到对应的pid号:

ps辅助| grep 6666

查看pid对应的进程文件路径:

# $pid 是对应的pid号

ls -l /proc/$PID/exe 或文件 /proc/$PID/exe

分析过程:

# 根据pid号查看进程

lsof -p 6071

lsof -c sshd

lsof -i :22

查看进程的开始时间:

根据pid强制停止进程:

杀死 -9 6071

注意:如果没有发现可疑文件,该文件可能会被删除。这个可疑的进程已被保存到内存中。这是一个记忆过程。这时候就需要找到PID并杀死它

检查启动项:

系统运行层示意图:

查看运行级别命令:

运行级别

引导配置文件:

/etc/rc.local

/etc/rc.d/rc[0~6].d

Linux系统启动时,会运行一些脚本来配置环境——rc脚本。在内核初始化并加载所有模块后,内核启动一个名为 init 或 init d 的守护进程。这个守护进程开始运行 /etc/init D/rc 中的一些脚本。这些脚本包括启动运行 Linux 系统所需的服务的命令

启动时执行脚本有两种方式:

在 /etc/RC 的 local 的 exit 0 语句之间添加启动脚本。脚本必须具有可执行权限

使用 update RC D 命令添加启动执行脚本

1\。编辑修改/etc/rc local

2、update-rc.d:该命令用于安装或删除System-V风格的初始化脚本连接。该脚本存放在/etc/init D/目录下。当然,你可以在这个目录下创建连接文件来连接其他地方存储的脚本文件。

该命令可以指定脚本的执行序号。序号的取值范围是 0-99。序号越大,执行越晚。

当我们需要启动自己的脚本时,只需要将可执行脚本留在/etc/init D目录下,然后在/etc/rc d/rc_中即可。 D文件建立软链接

句法:

update-rc.d 脚本名称或服务