Lista niezbędnych poleceń bezpieczeństwa Linux

Za pomocą polecenia Netstat Aby znaleźć otwarte porty:

Jednym z najbardziej podstawowych poleceń do monitorowania stanu urządzenia jest Netstat który pokazuje otwarte porty i ustalone połączenia.

Poniżej przykładu Netstat z dodatkowymi opcjami wyjściowymi:

# netstat -anp

Gdzie:
-A: pokazuje stan gniazd.
-N: pokazuje adresy IP zamiast gorących.
-P: pokazuje program ustanawiający koncentrcję.

Wyciąg wyjściowy lepszy wygląd:

Pierwsza kolumna pokazuje protokół, można zobaczyć zarówno TCP, jak i UDP, pierwszy zrzut ekranu pokazuje również gniazda Unix. Jeśli jesteś podejrzliwy, że coś jest nie tak, sprawdzanie portów jest oczywiście obowiązkowe.

Ustawienie podstawowych zasad z UFW:

Linuxhint opublikował świetne samouczki na temat UFW i IPTABLES, skoncentruję. Zaleca się zachowanie restrykcyjnej polityki odmawiającej całego przychodzącego ruchu, chyba że chcesz, aby była dozwolona.

Aby zainstalować UFW Uruchom:

# apt Zainstaluj UFW

Aby włączyć zaporę w uruchomieniu:

# sudo ufw włącz

Następnie zastosuj domyślną politykę restrykcyjną, uruchamiając:

# sudo ufw domyślnie odmówić przychodzącego

Będziesz musiał ręcznie otworzyć porty, których chcesz użyć, działając:

# UFW zezwalaj

Audyt się z nmap:

NMAP jest, jeśli nie najlepszy, jednym z najlepszych skanerów bezpieczeństwa na rynku. Jest to główne narzędzie używane przez Sysadmins do kontroli bezpieczeństwa sieciowego. Jeśli jesteś w DMZ, możesz zeskanować swój zewnętrzny adres IP, możesz również zeskanować router lub lokalny host.

Bardzo prostym skanowaniem przeciwko Twojemu lokalizacji byłoby:

Jak widzisz, wyjście pokazuje, że mój port 25 i port 8084 są otwarte.

NMAP ma wiele możliwości, w tym system operacyjny, wykrywanie wersji, skanowanie podatności itp.
W Linuxhint opublikowaliśmy wiele samouczków skupionych na NMAP i jego różnych technikach. Możesz je znaleźć tutaj.

Komenda Chkrootkit Aby sprawdzić system infekcji chrootkit:

Rootkits są prawdopodobnie najbardziej niebezpiecznym zagrożeniem dla komputerów. Polecenie chkrootkit

(Sprawdź rootkit) może pomóc w wykryciu znanych rootkitów.

Aby zainstalować Chkrootkit Run:

# apt Zainstaluj chkrootkit

Następnie uruchomić:

# sudo chkrootkit

Za pomocą polecenia szczyt Aby sprawdzić procesy przyjmujące większość zasobów:

Aby uzyskać szybki widok na uruchamianie zasobów, możesz użyć szczytu poleceń, w uruchomieniu terminalu:

# szczyt

Komenda iftop Aby monitorować ruch sieciowy:

Kolejnym świetnym narzędziem do monitorowania ruchu jest IFTOP,

# sudo iftop

W moim przypadku:

# sudo iftop wlp3S0

Polecenie LSOF (lista plik otwartego), aby sprawdzić stowarzyszenie FilesProcesses:

Po podejrzeniu coś jest nie tak, polecenie lsof mogą wymienić otwarte procesy i do których programów są powiązane, na biegu konsoli:

# lsof

Who i W, aby wiedzieć, kto jest zalogowany do twojego urządzenia:

Ponadto, aby wiedzieć, jak obronić system, obowiązkowe jest wiedzieć, jak zareagować, zanim będziesz podejrzany, twój system został zhakowany. Jedno z pierwszych poleceń, które będą działać przed taką sytuacją w Lub Kto który pokaże, co użytkownicy są zalogowani do twojego systemu i za pośrednictwem tego, jaki terminal. Zacznijmy od polecenia W:

# w

Notatka: Polecenia „W” i „Who” mogą nie pokazywać użytkowników zalogowanych z pseudo terminali, takich jak terminal XFCE lub terminal Mate.

Kolumna nazywana UŻYTKOWNIK Wyświetla nazwa użytkownika, Powyższy zrzut ekranu pokazuje, że jedynym zarejestrowanym użytkownikiem jest Linuxhint, kolumna Tty pokazuje terminal (tty7), trzecia kolumna Z Wyświetla adres użytkownika, w tym scenariuszu nie ma zalogowanych użytkowników zdalnych, ale jeśli zostali zalogowani, możesz tam zobaczyć adresy IP. ZALOGUJ SIE@ Kolumna określa czas, w którym użytkownik zalogował się, kolumna JCPU podsumowuje minuty procesu wykonane w terminalu lub Tty. PCPU Wyświetla procesor używany przez proces wymieniony w ostatniej kolumnie CO.

Chwila w równa się wykonaniu czas aktu, Kto I ps -a Razem kolejną alternatywą, pomimo mniejszej informacji, jest polecenie „Kto”:

# Kto

Komenda ostatni Aby sprawdzić aktywność logowania:

Innym sposobem nadzorowania aktywności użytkowników jest polecenie „ostatnie”, co pozwala odczytać plik WTMP który zawiera informacje na temat dostępu do logowania, źródła logowania, czasu logowania, z funkcjami ulepszonymi określonymi zdarzeniami logowania, aby spróbować uruchomić:

Sprawdzanie aktywności logowania za pomocą polecenia ostatni:

Polecenie ostatnio odczytuje plik WTMP Aby znaleźć informacje na temat aktywności logowania, możesz je wydrukować, uruchamiając:

# ostatni

Sprawdzanie statusu Selinux i włącz go w razie potrzeby:

SELINUX to system ograniczenia, który poprawia każde bezpieczeństwo Linux, jest domyślnie w niektórych rozkładach Linux, jest szeroko wyjaśniany tutaj na Linuxhint.

Możesz sprawdzić swój status Selinux, uruchamiając:

# sestatus

Jeśli otrzymasz błąd nie znalezionego polecenia, możesz zainstalować Selinux, uruchamiając:

# apt Zainstaluj selinux-bazics selinux-policy-default -y

Następnie uruchomić:

# Selinux-Activate

Sprawdź dowolną aktywność użytkownika za pomocą polecenia historia:

W dowolnym momencie możesz sprawdzić dowolną aktywność użytkownika (jeśli jesteś root), używając historii polecenia zarejestrowanego jako użytkownika, który chcesz monitorować:

# Historia

Historia poleceń odczytuje plik bash_history każdego użytkownika. Oczywiście ten plik może być zafałszowany, a ty jako root możesz odczytać ten plik bezpośrednio bez wywoływania historii poleceń. Jeśli jednak chcesz monitorować działanie, zaleca się, aby działanie jest zalecane.

Mam nadzieję, że ten artykuł na temat niezbędnych poleceń bezpieczeństwa Linux jest przydatny. Śledź śledź Linuxhint, aby uzyskać więcej wskazówek i aktualizacji na temat Linux i sieci.