攻防演练,作为蓝方,centos的操作系统,怎么查看是不是有隐藏用户,有没有获取权限

在攻防演练中,作为蓝方(防守方),检查 CentOS 操作系统中是否存在隐藏的用户以及是否有未授权的权限获取是非常重要的。以下是一些检查步骤和工具的使用方法,这些可以帮助你确保系统的安全和完整性。

1. 检查系统用户

查看 /etc/passwd 文件

这个文件包含了系统上所有用户的列表。你可以通过以下命令查看:

bash 复制代码
cat /etc/passwd

这将列出所有用户和它们的信息,包括登录名、用户ID(UID)、组ID(GID)、家目录以及默认的shell。

检查没有登录shell的用户

有些隐藏用户可能没有分配有效的shell,这些通常是系统或服务账户,但也可能是潜在的隐藏用户:

bash 复制代码
awk -F: '$7 == "/sbin/nologin" {print $1}' /etc/passwd

或者检查 /usr/sbin/nologin/bin/false

bash 复制代码
awk -F: '($7 == "/sbin/nologin" || $7 == "/bin/false") {print $1}' /etc/passwd

2. 检查用户登录记录

查看当前登录的用户

使用 whow 命令查看当前登录到系统的用户:

bash 复制代码
who

或者

bash 复制代码
w

查看最近登录的用户

使用 last 命令可以查看系统最近用户登录的记录:

bash 复制代码
last

3. 查看系统进程和活动

检查当前运行的进程

使用 ps 命令检查所有运行的进程,并搜索非标准路径或者未知的执行文件:

bash 复制代码
ps aux

4. 检查特权获取和提升

查看有 root 权限的进程

bash 复制代码
ps aux | grep '^root'

检查 sudo 权限的历史记录

bash 复制代码
cat /var/log/secure | grep sudo

5. 检查启动项和服务

未授权的服务或者脚本可能被配置为启动时执行:

bash 复制代码
systemctl list-unit-files --type=service

检查 /etc/rc.local 和 Cron 任务:

bash 复制代码
crontab -l
cat /etc/crontab

6. 检查网络活动

查看当前网络连接

使用 netstatss 查看活动的网络连接:

bash 复制代码
netstat -tulnp

或者

bash 复制代码
ss -tulnp

7. 使用安全工具

可以使用如 Lynis 或 chkrootkit 这样的安全审计工具进行全面检查:

bash 复制代码
# Lynis
lynis audit system

# chkrootkit
chkrootkit

通过上述步骤,你可以在一定程度上发现潜在的隐藏用户和未授权的权限获取行为。确保定期进行这些检查,以维护系统的安全性。

相关推荐
o(╥﹏╥)13 分钟前
linux(ubuntu )卡死怎么强制重启
linux·数据库·ubuntu·系统安全
娶不到胡一菲的汪大东18 分钟前
Ubuntu概述
linux·运维·ubuntu
Yuan_o_30 分钟前
Linux 基本使用和程序部署
java·linux·运维·服务器·数据库·后端
云云32140 分钟前
怎么通过亚矩阵云手机实现营销?
大数据·服务器·安全·智能手机·矩阵
那就举个栗子!44 分钟前
Ubuntu 20.04下Kinect2驱动环境配置与测试【稳定无坑版】
linux·ubuntu
灯火不休➴1 小时前
[Xshell] Xshell的下载安装使用、连接linux、 上传文件到linux系统-详解(附下载链接)
linux·运维·服务器
Lukea111 小时前
【新教程】Ubuntu server 24.04配置无线网WiFi
linux·ubuntu·教程
小峰编程1 小时前
独一无二,万字详谈——Linux之文件管理
linux·运维·服务器·云原生·云计算·ai原生
卜及中1 小时前
【Linux】资源隔离机制 — 命名空间(Namespace)详解
linux·服务器·php
明 庭1 小时前
Ubuntu下通过Docker部署Caddy服务器
服务器·ubuntu·docker