攻防演练,作为蓝方,centos的操作系统,怎么查看是不是有隐藏用户,有没有获取权限

在攻防演练中,作为蓝方(防守方),检查 CentOS 操作系统中是否存在隐藏的用户以及是否有未授权的权限获取是非常重要的。以下是一些检查步骤和工具的使用方法,这些可以帮助你确保系统的安全和完整性。

1. 检查系统用户

查看 /etc/passwd 文件

这个文件包含了系统上所有用户的列表。你可以通过以下命令查看:

bash 复制代码
cat /etc/passwd

这将列出所有用户和它们的信息,包括登录名、用户ID(UID)、组ID(GID)、家目录以及默认的shell。

检查没有登录shell的用户

有些隐藏用户可能没有分配有效的shell,这些通常是系统或服务账户,但也可能是潜在的隐藏用户:

bash 复制代码
awk -F: '$7 == "/sbin/nologin" {print $1}' /etc/passwd

或者检查 /usr/sbin/nologin/bin/false

bash 复制代码
awk -F: '($7 == "/sbin/nologin" || $7 == "/bin/false") {print $1}' /etc/passwd

2. 检查用户登录记录

查看当前登录的用户

使用 whow 命令查看当前登录到系统的用户:

bash 复制代码
who

或者

bash 复制代码
w

查看最近登录的用户

使用 last 命令可以查看系统最近用户登录的记录:

bash 复制代码
last

3. 查看系统进程和活动

检查当前运行的进程

使用 ps 命令检查所有运行的进程,并搜索非标准路径或者未知的执行文件:

bash 复制代码
ps aux

4. 检查特权获取和提升

查看有 root 权限的进程

bash 复制代码
ps aux | grep '^root'

检查 sudo 权限的历史记录

bash 复制代码
cat /var/log/secure | grep sudo

5. 检查启动项和服务

未授权的服务或者脚本可能被配置为启动时执行:

bash 复制代码
systemctl list-unit-files --type=service

检查 /etc/rc.local 和 Cron 任务:

bash 复制代码
crontab -l
cat /etc/crontab

6. 检查网络活动

查看当前网络连接

使用 netstatss 查看活动的网络连接:

bash 复制代码
netstat -tulnp

或者

bash 复制代码
ss -tulnp

7. 使用安全工具

可以使用如 Lynis 或 chkrootkit 这样的安全审计工具进行全面检查:

bash 复制代码
# Lynis
lynis audit system

# chkrootkit
chkrootkit

通过上述步骤,你可以在一定程度上发现潜在的隐藏用户和未授权的权限获取行为。确保定期进行这些检查,以维护系统的安全性。

相关推荐
2401_826097622 小时前
JavaEE-Linux环境部署
java·linux·java-ee
(:满天星:)3 小时前
第31篇:块设备与字符设备管理深度解析(基于OpenEuler 24.03)
linux·运维·服务器·网络·centos
小陶来咯3 小时前
【仿muduo库实现并发服务器】Acceptor模块
运维·服务器
爱莉希雅&&&3 小时前
shell编程之awk命令详解
linux·服务器·git
笑稀了的野生俊3 小时前
在服务器中下载 HuggingFace 模型:终极指南
linux·服务器·python·bash·gpu算力
渡我白衣3 小时前
Linux操作系统之文件(四):文件系统(上)
linux
ZZH1120KQ4 小时前
Linux系统安全及应用
linux·运维·系统安全
程序漫游人4 小时前
centos8.5安装jdk21详细安装教程
java·linux
小扎仙森4 小时前
关于服务器宝塔转移wordperss子比主题问题
运维·服务器
小小小糖果人4 小时前
Linux云计算基础篇(5)
linux·运维·服务器