2020年5月11日 星期一

Linux安全性例行檢查

1.檢查系統密碼文件
ls -l /etc/passwd #查看passwd檔案的最後修改日期
參數-l  use a long listing format #使用長列式表格,會列出檔案修改日期
或是可以
ll /etc/passwd
內容格式如下
-rw-r--r-- 1 root root 2413 Feb  7 11:17 /etc/passwd

2.檢查Gateway及監聽端口
netstat -an #列出本機所有的連接和監聽端口
netstat -rn #查看本機的路由,Gateway設置是否正確

3.檢查系統日誌(指令英文原義:show listing of last logged in users)
last |more
lastlog #可簡單的查看所有用戶最後一次登入時間
語法 last [-adRx][-f ][-n ][帳號名稱][hostname]
相關參數如下
-a 把從何處登錄系統的主機名度稱呼或IP地址,顯示在最後一行。
-d 將問IP地址轉換成主機名答稱。
-f <記錄文件>指定記錄文件。
-n <顯示列數內>或-<顯示列數>設置列表的顯示列數。
-R 不顯示登錄系統的主機名或IP地址。
-x 顯示系統關機,重新啟動容,以及執行等級的改變等信息。
內容格式如下
root     pts/0        192.168.50.124   Wed May  6 10:52   still logged in 
root     pts/0        192.168.50.124   Tue May  5 14:41 - 17:58  (03:17)   
root     pts/0        192.168.50.124   Thu Apr 30 12:03 - 12:09  (00:06)   
root     pts/0        192.168.50.124   Wed Apr 29 16:56 - 17:45  (00:48)   
reboot   system boot  3.10.0-1127.el7. Wed Apr 29 16:49 - 11:13 (6+18:24) 
root     pts/0        192.168.50.124   Wed Apr 29 16:47 - down   (00:01)   
reboot   system boot  3.10.0-1127.el7. Wed Apr 29 16:23 - 16:48  (00:25) 
註:  pts/ptmx(pts/ptmx結合使用,進而實現pty):
pts(pseudo-terminal slave)是pty的實現方法,與ptmx(pseudo-terminal master)配合使用實現pty
pty(虛擬終端):


4.檢查登入記錄
more /var/log/secure
cat /var/log/secure |grep 'password changed' #可查詢最後一次修改密碼時間
內容格式如下
May  5 14:41:42 localhost sshd[18321]: Accepted password for root from 192.168.50.124 port 64330 ssh2
May  5 14:41:42 localhost sshd[18321]: pam_unix(sshd:session): session opened for user root by (uid=0)
May  5 17:58:55 localhost sshd[18321]: error: Received disconnect from 192.168.50.124 port 64330:0:
May  5 17:58:55 localhost sshd[18321]: Disconnected from 192.168.50.124 port 64330
May  5 17:58:55 localhost sshd[18321]: pam_unix(sshd:session): session closed for user root
May  6 10:52:40 localhost sshd[16036]: Accepted password for root from 192.168.50.124 port 61472 ssh2
May  6 10:52:40 localhost sshd[16036]: pam_unix(sshd:session): session opened for user root by (uid=0)

沒有留言:

張貼留言

AWS使用者許可範圍遭限制

搜尋此網誌