相关命令补充
入侵排查思路
账号安全
用户信息文件/etc/passwd
root:x:0:0:root:/root:/bin/bash |
注意:无密码只允许本机登陆,远程不允许登陆
/etc/shadow
文件
root:$6$oGs1PqhL2p3ZetrE$X7o7bzoouHQVSEmSgsYN5UD4.kMHx6qgbTqwNVC5oOAouXvcjQSt.Ft7ql1WpkopY0UV9ajBwUt1DpYxTCVvI/:16809:0:99999:7::: |
相关命令
who 查看当前登录用户(tty本地登陆 pts远程登录) |
查找特权用户(UID=0)
awk -F: '$3==0{print $1}' /etc/passwd |
查找可以远程登陆的账号信息
$ sudo awk '/\$1|\$6/{print $1}' /etc/shadow |
除root帐号外,其他帐号是否存在sudo权限。如非管理需要,普通帐号应删除sudo权限
sudo more /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)" |
禁用或者删除可疑的账号
usermod -L user 禁用帐号,帐号无法登录,/etc/shadow第二栏为!开头 |
历史命令
history
查看历史命令打开/home各帐号目录下的.bash_history,查看普通帐号的历史命令
保存一万条命令
sed -i 's/^HISTSIZE=1000/HISTSIZE=10000/g' /etc/profile |
增加ip信息
######jiagu history xianshi######### |
source /etc/profile
让配置生效