系统信息

开机启动项

运行级别

系统运行级别：

运行级别	含义
0	关机
1	单用户模式，可以想象为windows的安全模式，主要用于系统修复
2	不完全的命令行模式，不含NFS服务
3	完全的命令行模式，就是标准字符界面
4	系统保留
5	图形模式
6	重启

查看运行级别：

$ runlevel

修改系统默认运行级别：

$ vim /etc/inittab
id=3: initdefault

开启启动配置

CentOS 5： init程序会读取/etc/inittab来完成初始化工作。 /etc/inittab主要指定运行级别，执行系统初始化脚本/etc/rc.d/rc.sysinit。

开机启动配置文件：

/etc/rc.local
/etc/rc.d/init.d
/etc/rc.d/rc.local
/etc/rc.d/rc[0~6].d

添加开机启动脚本

要开机启动对应的脚本，只需要将可执行脚本丢在/etc/init.d/目录下，然后/etc/rc.d/rc*.d中建立软链接即可：

$ ln -s /etc/init.d/sshd /etc/rc.d/rc3.d/S100ssh

S开头代表加载时自启动；如果是K开头的脚本文件，代表运行级别加载时需要关闭的。

入侵排查

查看启动项文件：

$ more /etc/rc.local /etc/rc.d/rc[0~6].d ls -l /etc/rc.d/rc3.d/

定时任务

关于以下目录是否存在恶意脚本：

/var/spool/cron/* 
/etc/crontab
/etc/cron.d/*
/etc/cron.daily/* 
/etc/cron.hourly/* 
/etc/cron.monthly/*
/etc/cron.weekly/
/etc/anacrontab
/var/spool/anacron/*

历史命令

bash_histroy

通过.bash_history查看账号执行过的系统命令：

$ history
# 或者
$ more .bash_history

为历史命令增加登录的IP地址、执行命令等信息

# 先添加保存一万条命令
$ sed -i 's/^HISTSIZE=1000/HISTSIZE=10000/g' /etc/profile
# 在/etc/profile命令尾部添加信息：
$ vim /etc/profile
USER_IP=`who -u am i 2>/dev/null | awk '{print $NF}' | sed -e 's/[()]//g'`
if [ "$USER_IP" = "" ]
then
USER_IP=`hostname`
fi
export HISTTIMEFORMAT="%F %T $USER_IP `whoami` "
shopt -s histappend
export PROMPT_COMMAND="history -a"

扩展

历史操作命令清除

$ history -c

不会清除保存在文件中的记录，所以需要手动删除.bash_profile文件中的记录。

系统用户

系统用户文件

用户信息文件/etc/passwd：

root:x:0:0:root:/root:/bin/bash
account:password:UID:GID:GECOS:directory:shell

影子账户/etc/shadow：

root:$6$oGs1PqhL2p3ZetrE$X7o7bzoouHQVSEmSgsYN5UD4.kMHx6qgbTqwNVC5oOAouXvcjQSt.Ft7ql1WpkopY0UV9ajBwUt1DpYxTCVvI/:16809:0:99999:7:::
用户名：加密密码：密码最后一次修改日期：两次密码的修改时间间隔：密码有效期：密码修改到期到的警告天数：密码过期之后的宽限天数：账号失效时间：保留

• who：查看当前登录用户(tty本地登录，pts远程登录)

• w：查看系统信息

• uptime：查看登录多久、多少用户

入侵排查

查询特权用户：

$ awk -F: '$3==0{print $1}' /etc/passwd

查询可疑远程登录的账号信息：

$ awk '/\$1|\$6/{print $1}' /etc/shadow

查看除root帐号外，其他帐号是否存在sudo权限：

$ more /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)"

禁用或删除多余及可疑的帐号：

• usermod -L user：禁用帐号，帐号无法登录，/etc/shadow第二栏为!开头。

• userdel user：删除user用户。

• userdel -r user：将删除user用户，并且将/home目录下的user目录一并删除。