Linux安全与运维指南

type

status

date

slug

summary

Linux基础命令

文件和目录操作

ls:列出目录内容

使用ls -l可以显示详细信息，在日常运维中，主要检查文件权限和修改时间

find ：查找文件:的所有文件、find

stat:查看文件或目录的具体信息，如修改时间、访问权限等、这对于确定文件是否被篡改非常关键。

定时任务

通过排查定时任务，可以查看潜在的攻击任务，在安全事件响应中，是常见的步骤之一。常用排除命令如下：

crontab:管理用户的定时任务。

crontab -e：编辑定时任务。

crontab -l ：查看当前定时任务列表。

/etc/crontab:定时任务配置文件。

权限管理

在Linux中，权限管理是非常重要的。他决定了该风险程序能否正常执行。在Linux中，常用的权限管理命令为chmod和chown。chmod用于更改文件或目录的访问权限如

chown 更改文件或目录的所有者和/或所属组如

文件目录的所有者和归属组

用户和组管理

在Linuxz中，攻击者可以创建一些隐藏的账号来登录系统。常用的命令如下：

useradd：用于创建新用户

userdel：用于删除用户。

usermod:用于修改用户账户，例如更改用户名或所属组。

grep命令应用：

grep命令一般和awk和sed等命令结合使用。用来分析日志中的安全响应事件，如对行号和密码的暴力破解。

系统状态

通过排查占用系统进程比较高的程序，来分析是哪个程序或者服务占用了比较高的系统资源。最常见的便是挖矿木马了。常见的命令如下：

top命令

top : 显示当前活动的进程。

top -u usernsme 显示指定用户的进程，

top -i 忽略闲置和僵尸进程。

df和du : 磁盘使用情况。

df -h 可以显示本地磁盘的使用情况。

网络和进程监控

通过排查当前设备的网络和端口连接状态，从而获取异常的网络链接。常用的排除命令有：

netstat -tuln 查看所有监听端口

netstat -an | grep ESTABLISHED 查看建立的网络连接

当然，我们可以使用更加轻量化的工具ss

ss -tuln 查看监听端口

ss-tp 显示哪些进程正在使用哪些端口。

进程排查

在Linxux中，利用ps命令可以查看当前进程。常用的命令如何：

日志分析

在Linux中，日志文件是非常重要的，他记录了攻击者的各类操作和攻击手段。常见的日志和说明如下：

安全日志：/var/log/secure 如SSH暴力破解记录

系统日志：/var/log/syslog记录系统运行信息

Web服务日志：/var/log/access.log和/var/log/error.log记录Web访问和错误信息对于分析网站安全事件至关重要

内核日志：/var/log/kern.log用于调查系统崩溃和硬件问题

历史命令日志：~/.bash_history或/root/.bash_history记录用户的命令历史，可以用来追踪用户的操作历史，在调查安全事件时非常重要

常用日志分析命令

grep: 用于查找特定模式如

awk：用于复杂的文本处理如

敏感文件

/etc/passwd 和 /etc/shadow:存储用户账户信息和加密后的密码，有助于发现未授权的用户账号更改。

/etc/sudoers:定义了哪些用户具有sudo权限，有助于检测未授权的权限提升。

/etc/group: 存储用户组信息，包括组名，组密码、组ID和组内成员

/etc/crontab 和 /etc/cron.\*/\*:存储计划任务配置

/root/.ssh/authorized_keys：存储有权限远程访问root用户的SSH密钥。