攻防演练,作为蓝方,centos的操作系统,怎么查看是不是有隐藏用户,有没有获取权限

在攻防演练中,作为蓝方(防守方),检查 CentOS 操作系统中是否存在隐藏的用户以及是否有未授权的权限获取是非常重要的。以下是一些检查步骤和工具的使用方法,这些可以帮助你确保系统的安全和完整性。

1. 检查系统用户

查看 /etc/passwd 文件

这个文件包含了系统上所有用户的列表。你可以通过以下命令查看:

bash 复制代码
cat /etc/passwd

这将列出所有用户和它们的信息,包括登录名、用户ID(UID)、组ID(GID)、家目录以及默认的shell。

检查没有登录shell的用户

有些隐藏用户可能没有分配有效的shell,这些通常是系统或服务账户,但也可能是潜在的隐藏用户:

bash 复制代码
awk -F: '$7 == "/sbin/nologin" {print $1}' /etc/passwd

或者检查 /usr/sbin/nologin/bin/false

bash 复制代码
awk -F: '($7 == "/sbin/nologin" || $7 == "/bin/false") {print $1}' /etc/passwd

2. 检查用户登录记录

查看当前登录的用户

使用 whow 命令查看当前登录到系统的用户:

bash 复制代码
who

或者

bash 复制代码
w

查看最近登录的用户

使用 last 命令可以查看系统最近用户登录的记录:

bash 复制代码
last

3. 查看系统进程和活动

检查当前运行的进程

使用 ps 命令检查所有运行的进程,并搜索非标准路径或者未知的执行文件:

bash 复制代码
ps aux

4. 检查特权获取和提升

查看有 root 权限的进程

bash 复制代码
ps aux | grep '^root'

检查 sudo 权限的历史记录

bash 复制代码
cat /var/log/secure | grep sudo

5. 检查启动项和服务

未授权的服务或者脚本可能被配置为启动时执行:

bash 复制代码
systemctl list-unit-files --type=service

检查 /etc/rc.local 和 Cron 任务:

bash 复制代码
crontab -l
cat /etc/crontab

6. 检查网络活动

查看当前网络连接

使用 netstatss 查看活动的网络连接:

bash 复制代码
netstat -tulnp

或者

bash 复制代码
ss -tulnp

7. 使用安全工具

可以使用如 Lynis 或 chkrootkit 这样的安全审计工具进行全面检查:

bash 复制代码
# Lynis
lynis audit system

# chkrootkit
chkrootkit

通过上述步骤,你可以在一定程度上发现潜在的隐藏用户和未授权的权限获取行为。确保定期进行这些检查,以维护系统的安全性。

相关推荐
Java小白笔记16 分钟前
Docker 安装配置完全指南:MacOS 、Windows、Linux环境下的安装、配置与验证
linux·macos·docker
ACP广源盛139246256731 小时前
GSV6155@ACP# 搭配 AI 服务器、AI PC 完整适配方案
大数据·服务器·人工智能·分布式·单片机·嵌入式硬件
qetfw2 小时前
CentOS 7 搭建 LDAP 目录服务
linux·运维·centos
ALINX技术博客3 小时前
【黑金云课堂】FPGA技术教程Linux开发:系统进阶-PS DMA
linux·fpga开发
IT方大同3 小时前
linux简介
linux·运维·服务器
Dear~yxy4 小时前
时间同步服务器搭建
运维·服务器
mounter6254 小时前
从内存隔离到运行时防线:透视 Linux 内核安全强化的博弈与演进
linux·网络·安全·linux kernel·kernel
wbs_scy5 小时前
仿 muduo 高并发服务器项目:实现 LoopThread 与 LoopThreadPool 多线程事件循环
运维·服务器
微道道5 小时前
Linux盒子局域网内使用 .local 域名访问,告别IP变化烦恼
linux·运维·服务器·hermes
遇见小修修5 小时前
⚠键盘失灵?5 步自查,不用花钱换新键盘
运维·服务器·数据库·计算机外设·电脑·负载均衡