这篇文章给大家分享的是有关Linux中如何实现入侵排查的内容。小编觉得挺实用的,因此分享给大家做个参考,一起跟随小编过来看看吧。
账号安全:
1、用户信息文件/etc/passwd
# 格式:account:password:UID:GID:GECOS:directory:shell # 用户名:密码:用户ID:组ID:用户说明:家目录:登陆之后的 shell root:x:0:0:root:/root:/bin/bash
# 查看可登录用户: cat /etc/passwd | grep /bin/bash # 查看UID=0的用户 awk -F: '$3==0{print $1}' /etc/passwd # 查看sudo权限的用户 more /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)"注意:无密码只允许本机登陆,远程不允许登陆
2、影子文件:/etc/shadow
# 用户名:加密密码:密码最后一次修改日期:两次密码的修改时间间隔:密码有效期:密码修改到期到的警告天数:密码过期之后的宽限天数:账号失效时间:保留 root:$6$oGs1PqhL2p3ZetrE$X7o7bzoouHQVSEmSgsYN5UD4.kMHx6qgbTqwNVC5oOAouXvcjQSt.Ft7ql1WpkopY0UV9ajBwUt1DpYxTCVvI/:16809:0:99999:7:::
3、查看当前登录用户及登录时长
who # 查看当前登录系统的所有用户(tty 本地登陆 pts 远程登录) w # 显示已经登录系统的所用用户,以及正在执行的指令 uptime # 查看登陆多久、多少用户,负载状态
4、排查用户登录信息
查看最近登录成功的用户及信息
# 显示logged in表示用户还在登录 # pts表示从SSH远程登录 # tty表示从控制台登录,就是在服务器旁边登录 last
查看最近登录失败的用户及信息:
# ssh表示从SSH远程登录 # tty表示从控制台登录 sudo lastb
显示所有用户最近一次登录信息:
lastlog
在排查服务器的时候,黑客没有在线,可以使用last命令排查黑客什么时间登录的有的黑客登录时,会将/var/log/wtmp文件删除或者清空,这样我们就无法使用last命令获得有用的信息了。
在黑客入侵之前,必须使用chattr +a对/var/log/wtmp文件进行锁定,避免被黑客删除
5、sudo用户列表
/etc/sudoers
入侵排查:
# 查询特权用户特权用户(uid 为0): awk -F: '$3==0{print $1}' /etc/passwd # 查询可以远程登录的帐号信息: awk '/\$1|\$6/{print $1}' /etc/shadow # 除root帐号外,其他帐号是否存在sudo权限。如非管理需要,普通帐号应删除sudo权限: more /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)" # 禁用或删除多余及可疑的帐号 usermod -L user # 禁用帐号,帐号无法登录,/etc/shadow 第二栏为 ! 开头 userdel user # 删除 user 用户 userdel -r user # 将删除 user 用户,并且将 /home 目录下的 user 目录一并删除通过.null
