系统信息

开机启动项

运行级别

系统运行级别:

运行级别

含义

0

关机

1

单用户模式,可以想象为windows的安全模式,主要用于系统修复

2

不完全的命令行模式,不含NFS服务

3

完全的命令行模式,就是标准字符界面

4

系统保留

5

图形模式

6

重启

查看运行级别:

$ runlevel

修改系统默认运行级别:

$ vim /etc/inittab
id=3: initdefault

开启启动配置

CentOS 5init程序会读取/etc/inittab来完成初始化工作。 /etc/inittab主要指定运行级别,执行系统初始化脚本/etc/rc.d/rc.sysinit

开机启动配置文件:

/etc/rc.local
/etc/rc.d/init.d
/etc/rc.d/rc.local
/etc/rc.d/rc[0~6].d

添加开机启动脚本

要开机启动对应的脚本,只需要将可执行脚本丢在/etc/init.d/目录下,然后/etc/rc.d/rc*.d中建立软链接即可:

$ ln -s /etc/init.d/sshd /etc/rc.d/rc3.d/S100ssh

S开头代表加载时自启动;如果是K开头的脚本文件,代表运行级别加载时需要关闭的。

入侵排查

查看启动项文件:

$ more /etc/rc.local /etc/rc.d/rc[0~6].d ls -l /etc/rc.d/rc3.d/

定时任务

关于以下目录是否存在恶意脚本:

/var/spool/cron/* 
/etc/crontab
/etc/cron.d/*
/etc/cron.daily/* 
/etc/cron.hourly/* 
/etc/cron.monthly/*
/etc/cron.weekly/
/etc/anacrontab
/var/spool/anacron/*

历史命令

bash_histroy

通过.bash_history查看账号执行过的系统命令:

$ history
# 或者
$ more .bash_history

为历史命令增加登录的IP地址、执行命令等信息

# 先添加保存一万条命令
$ sed -i 's/^HISTSIZE=1000/HISTSIZE=10000/g' /etc/profile
# 在/etc/profile命令尾部添加信息:
$ vim /etc/profile
USER_IP=`who -u am i 2>/dev/null | awk '{print $NF}' | sed -e 's/[()]//g'`
if [ "$USER_IP" = "" ]
then
USER_IP=`hostname`
fi
export HISTTIMEFORMAT="%F %T $USER_IP `whoami` "
shopt -s histappend
export PROMPT_COMMAND="history -a"

扩展

历史操作命令清除

$ history -c

不会清除保存在文件中的记录,所以需要手动删除.bash_profile文件中的记录。

系统用户

系统用户文件

用户信息文件/etc/passwd

root:x:0:0:root:/root:/bin/bash
account:password:UID:GID:GECOS:directory:shell

影子账户/etc/shadow

root:$6$oGs1PqhL2p3ZetrE$X7o7bzoouHQVSEmSgsYN5UD4.kMHx6qgbTqwNVC5oOAouXvcjQSt.Ft7ql1WpkopY0UV9ajBwUt1DpYxTCVvI/:16809:0:99999:7:::
用户名:加密密码:密码最后一次修改日期:两次密码的修改时间间隔:密码有效期:密码修改到期到的警告天数:密码过期之后的宽限天数:账号失效时间:保留

  • who:查看当前登录用户(tty本地登录,pts远程登录)

  • w:查看系统信息

  • uptime:查看登录多久、多少用户

入侵排查

查询特权用户:

$ awk -F: '$3==0{print $1}' /etc/passwd

查询可疑远程登录的账号信息:

$ awk '/\$1|\$6/{print $1}' /etc/shadow

查看除root帐号外,其他帐号是否存在sudo权限:

$ more /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)"

禁用或删除多余及可疑的帐号:

  • usermod -L user:禁用帐号,帐号无法登录,/etc/shadow第二栏为!开头。

  • userdel user:删除user用户。

  • userdel -r user:将删除user用户,并且将/home目录下的user目录一并删除。

PreviousLinuxNext进程与端口

Last updated