系统信息
开机启动项
运行级别
系统运行级别:
运行级别
含义
0
关机
1
单用户模式,可以想象为windows的安全模式,主要用于系统修复
2
不完全的命令行模式,不含NFS服务
3
完全的命令行模式,就是标准字符界面
4
系统保留
5
图形模式
6
重启
查看运行级别:
$ runlevel修改系统默认运行级别:
$ vim /etc/inittab
id=3: initdefault开启启动配置
CentOS 5: init程序会读取/etc/inittab来完成初始化工作。 /etc/inittab主要指定运行级别,执行系统初始化脚本/etc/rc.d/rc.sysinit。
开机启动配置文件:
/etc/rc.local
/etc/rc.d/init.d
/etc/rc.d/rc.local
/etc/rc.d/rc[0~6].d添加开机启动脚本
要开机启动对应的脚本,只需要将可执行脚本丢在/etc/init.d/目录下,然后/etc/rc.d/rc*.d中建立软链接即可:
$ ln -s /etc/init.d/sshd /etc/rc.d/rc3.d/S100sshS开头代表加载时自启动;如果是K开头的脚本文件,代表运行级别加载时需要关闭的。
入侵排查
查看启动项文件:
$ more /etc/rc.local /etc/rc.d/rc[0~6].d ls -l /etc/rc.d/rc3.d/定时任务
关于以下目录是否存在恶意脚本:
/var/spool/cron/*
/etc/crontab
/etc/cron.d/*
/etc/cron.daily/*
/etc/cron.hourly/*
/etc/cron.monthly/*
/etc/cron.weekly/
/etc/anacrontab
/var/spool/anacron/*历史命令
bash_histroy
通过.bash_history查看账号执行过的系统命令:
$ history
# 或者
$ more .bash_history为历史命令增加登录的IP地址、执行命令等信息
# 先添加保存一万条命令
$ sed -i 's/^HISTSIZE=1000/HISTSIZE=10000/g' /etc/profile
# 在/etc/profile命令尾部添加信息:
$ vim /etc/profile
USER_IP=`who -u am i 2>/dev/null | awk '{print $NF}' | sed -e 's/[()]//g'`
if [ "$USER_IP" = "" ]
then
USER_IP=`hostname`
fi
export HISTTIMEFORMAT="%F %T $USER_IP `whoami` "
shopt -s histappend
export PROMPT_COMMAND="history -a"历史操作命令清除
$ history -c不会清除保存在文件中的记录,所以需要手动删除.bash_profile文件中的记录。
系统用户
系统用户文件
用户信息文件/etc/passwd:
root:x:0:0:root:/root:/bin/bash
account:password:UID:GID:GECOS:directory:shell影子账户/etc/shadow:
root:$6$oGs1PqhL2p3ZetrE$X7o7bzoouHQVSEmSgsYN5UD4.kMHx6qgbTqwNVC5oOAouXvcjQSt.Ft7ql1WpkopY0UV9ajBwUt1DpYxTCVvI/:16809:0:99999:7:::
用户名:加密密码:密码最后一次修改日期:两次密码的修改时间间隔:密码有效期:密码修改到期到的警告天数:密码过期之后的宽限天数:账号失效时间:保留who:查看当前登录用户(tty本地登录,pts远程登录)w:查看系统信息uptime:查看登录多久、多少用户
入侵排查
查询特权用户:
$ awk -F: '$3==0{print $1}' /etc/passwd查询可疑远程登录的账号信息:
$ awk '/\$1|\$6/{print $1}' /etc/shadow查看除root帐号外,其他帐号是否存在sudo权限:
$ more /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)"禁用或删除多余及可疑的帐号:
usermod -L user:禁用帐号,帐号无法登录,/etc/shadow第二栏为!开头。userdel user:删除user用户。userdel -r user:将删除user用户,并且将/home目录下的user目录一并删除。
Last updated
Was this helpful?