攻防演练,作为蓝方,centos的操作系统,怎么查看是不是有隐藏用户,有没有获取权限

在攻防演练中,作为蓝方(防守方),检查 CentOS 操作系统中是否存在隐藏的用户以及是否有未授权的权限获取是非常重要的。以下是一些检查步骤和工具的使用方法,这些可以帮助你确保系统的安全和完整性。

1. 检查系统用户

查看 /etc/passwd 文件

这个文件包含了系统上所有用户的列表。你可以通过以下命令查看:

bash 复制代码
cat /etc/passwd

这将列出所有用户和它们的信息,包括登录名、用户ID(UID)、组ID(GID)、家目录以及默认的shell。

检查没有登录shell的用户

有些隐藏用户可能没有分配有效的shell,这些通常是系统或服务账户,但也可能是潜在的隐藏用户:

bash 复制代码
awk -F: '$7 == "/sbin/nologin" {print $1}' /etc/passwd

或者检查 /usr/sbin/nologin/bin/false

bash 复制代码
awk -F: '($7 == "/sbin/nologin" || $7 == "/bin/false") {print $1}' /etc/passwd

2. 检查用户登录记录

查看当前登录的用户

使用 whow 命令查看当前登录到系统的用户:

bash 复制代码
who

或者

bash 复制代码
w

查看最近登录的用户

使用 last 命令可以查看系统最近用户登录的记录:

bash 复制代码
last

3. 查看系统进程和活动

检查当前运行的进程

使用 ps 命令检查所有运行的进程,并搜索非标准路径或者未知的执行文件:

bash 复制代码
ps aux

4. 检查特权获取和提升

查看有 root 权限的进程

bash 复制代码
ps aux | grep '^root'

检查 sudo 权限的历史记录

bash 复制代码
cat /var/log/secure | grep sudo

5. 检查启动项和服务

未授权的服务或者脚本可能被配置为启动时执行:

bash 复制代码
systemctl list-unit-files --type=service

检查 /etc/rc.local 和 Cron 任务:

bash 复制代码
crontab -l
cat /etc/crontab

6. 检查网络活动

查看当前网络连接

使用 netstatss 查看活动的网络连接:

bash 复制代码
netstat -tulnp

或者

bash 复制代码
ss -tulnp

7. 使用安全工具

可以使用如 Lynis 或 chkrootkit 这样的安全审计工具进行全面检查:

bash 复制代码
# Lynis
lynis audit system

# chkrootkit
chkrootkit

通过上述步骤,你可以在一定程度上发现潜在的隐藏用户和未授权的权限获取行为。确保定期进行这些检查,以维护系统的安全性。

相关推荐
渡我白衣21 分钟前
Linux操作系统:再谈虚拟地址空间
linux
阿巴~阿巴~27 分钟前
Linux 第一个系统程序 - 进度条
linux·服务器·bash
DIY机器人工房41 分钟前
代码详细注释:通过stat()和lstat()系统调用获取文件的详细属性信息
linux·嵌入式
我科绝伦(Huanhuan Zhou)1 小时前
华为泰山服务器重启后出现 XFS 文件系统磁盘“不识别”(无法挂载或访问),但挂载点目录仍在且无数据
运维·服务器·华为
望获linux2 小时前
【Linux基础知识系列】第四十三篇 - 基础正则表达式与 grep/sed
linux·运维·服务器·开发语言·前端·操作系统·嵌入式软件
眠りたいです2 小时前
Mysql常用内置函数,复合查询及内外连接
linux·数据库·c++·mysql
我的泪换不回玫瑰2 小时前
Linux系统管理命令
linux
jjkkzzzz3 小时前
Linux下的C/C++开发之操作Zookeeper
linux·zookeeper·c/c++
二当家的素材网3 小时前
Centos和麒麟系统如何每天晚上2点10分定时备份达梦数据库
linux·数据库·centos
挑战者6668883 小时前
CentOS 系统高效部署 Dify 全攻略
linux·运维·centos