linux 系统安全检查

#排查异常账号

cat /etc/passwd

cat /etc/shadow

cat /etc/group

cat /etc/gshadow

awk -F: '3==0{print 1}' /etc/passwd ##默认只有root

awk -F: '$3==0{print1}' /etc/passwd

awk -F: 'length(2)==0{print1}' /etc/shadow ##查看空口令

#查看远程登录账号: /bin/shell

awk '/\1\\6/{print $1}' /etc/shadow

#检查sudo权限

more /etc/sudoers | grep -v "^#|^$" | grep "ALL=(ALL)"

##检查禁用账户: /etc/shadow 第二栏为!开头

usermod -L 用户;

userdel -r 用户; 且将/home 下的整个用户目录一起删除;

##who whoami last lastb cat bash_history>>history.txt lastlog

#查看所有 用户链接时间 /var/log/wtmp :ac -dp

#检查当前主机系统负载

w top uptime

#查看异常进程端口;

ss -antlp | less ##分析可疑端口、IP、PID ;如果发现异常,用以下命令查看下PID所对应的进程文件路径

ls -l /proc/PID/exe 或file /proc/PID/exe ##($PID 为对应的PID号)

ps -aux | grep pid

killall -9 可疑进程 ###查杀所有可疑进程

5、启动项配置文件查看是否异常:

more /etc/rc.local /etc/rc.d/rc0\~6.d

ls -l /etc/rc.d/rc3.d ##查看系统启动文件rc.local和/etc/init.d 有无异常脚本文件;

或进去/etc/init.d 删除异常开机文件;

6、查看异常计划任务执行:

crontab -l

crontab -e ##进程删除异常任务

more /etc/cron.daily/* 查看目录下文件

ps aux | grep crond

重点关注以下目录中是否存在恶意脚本:

/var/spool/cron/*

/etc/crontab

/etc/cron.d/*

/etc/cron.daily/*

/etc/cron.hourly/*

/etc/cron.monthly/*

/etc/cron.weekly/*

/etc/anacrontab

/var/spool/anacron/*

相关推荐
运维行者_3 小时前
企业无线网络监控的挑战与智能化演进趋势
大数据·运维·服务器·网络·数据库
月♡下ღchase梦3 小时前
Claude Code安装教程
经验分享·codex·claude code
2603_955279703 小时前
Cursor + GitOps:自动化运维新姿势
运维·自动化
Waay4 小时前
面试口述版:个人对 Prometheus 完整理解
运维·学习·云原生·面试·职场和发展·kubernetes·prometheus
三8444 小时前
文件查找/文件压缩/解压缩
linux·运维·服务器
小猪写代码4 小时前
Linux 管道(Pipeline)作业
linux·运维·服务器
桌面运维家4 小时前
如何用半缓存云桌面将服务器硬盘容量扩展至本地终端?
运维·服务器·缓存
激情的学姐4 小时前
【大型网站技术实践】初级篇:借助Nginx搭建反向代理服务器
运维·nginx
Coder_Shenshen5 小时前
西门子S7CommPlus协议鉴权算法原理与流程详解
网络·后端·算法
ai_coder_ai5 小时前
编写自动化脚本,在自己后端服务中使用Open Api进行设备相关操作
java·运维·自动化