Linux宁静功能查抄常用号令

  源:网海拾贝  



1.Accounts查抄

# less /etc/passwd

# grep :0: /etc/passwd

详尽新的用户,和UID,GID是0的用户.

2.Log查抄

详尽“entered promiscuous mode”

详尽错误信息

详尽Remote Procedure Call (rpc) programs with a log entry that includes a large number (> 20) strange characters(-^PM-^PM-^PM-^PM-^PM-^PM-^PM-^PM)

末了一条目前还没了解探问,也没碰到过.(哪位高手清楚晓畅品评里教导一二,不胜感谢)

3.Processes查抄

# ps -aux

详尽UID是0的

# lsof -p 可疑的过程号

观察该过程所打末端口和文件

4.Files查抄

# find / -uid 0 –perm -4000 –print

# find / -size 10000k –print

# find / -name “...“ –print

# find / -name “.. “ –print

# find / -name “. “ –print

# find / -name “ “ –print

详尽SUID文件,可疑大年夜于10M,...,..,.和空格文件

5.Rpm查抄

# rpm –Va

输入花样:

S – File size differs

M – Mode differs (permissions)

5 – MD5 sum differs

D – Device number mismatch

L – readLink path mismatch

U – user ownership differs

G – group ownership differs

T – modification time differs

详尽和这些干系的 /sbin, /bin, /usr/sbin, and /usr/bin

往常养成安顿第三方文件时check MD5的习气,呵呵,要不太惊骇了

运转的时分会出很多5大年夜概missing的提示,假如不是上面合格目录的,不用太详尽

6.Network查抄

# ip link   grep PROMISC

正常网卡不应在promisc体例,虽然宁静server除外,否则大年夜概是有人入侵在sniffer

# lsof –i

# netstat –nap

观察不正常翻开的TCP/UDP端口,嘿嘿,需求往常详尽,较量,似乎我没这样埋头过:)

# arp –a

这个更惊骇了,岂非叫人document一切的MAC所在先

7.Schedule查抄

详尽root和UID是0的schedule

# crontab –u root –l

# cat /etc/crontab

# ls /etc/cron.*



版权声明: 原创作品,许可转载,转载时请务必以超链接体例标明文章 原始来因 、作者信息和本声明。否则将深究执法责任。

posted @ 2011-03-07 20:49  蓝色的天空III  阅读(253)  评论(0)    收藏  举报