Linux安全事件响应

概述

本文包含 Linux 环境中事件响应和实时取证的综合备忘单。帮助系统管理员、安全专业人员和 IT 员工在事件期间快速参考命令和过程。

• • 用户账户

• • 日志

• • 系统资源

• • 进程

• • 服务

• • 文件

• • 网络设置

• • 附加命令

用户帐户

调查用户活动，权限和异常活动的命令。

• • cat /etc/passwd - 列出用户帐户.

• • passwd -S [User_Name] - 检查用户的密码状态.

• • lastlog - 显示最新登录.

• • last - 显示最后登录的用户.

• • who - 显示谁登录.

• • w -展示谁登录以及他们在做什么.

日志

用于审查系统和应用程序日志的命令。

• • cat /var/log/messages - 显示系统消息.

• • cat /var/log/auth.log - 显示用户身份验证日志.

• • cat /var/log/secure - 显示基于redhat系统的身份验证日志.

• • cat /var/log/boot.log - 显示系统引导日志.

• • cat /var/log/dmesg - 显示内核环缓冲区日志.

• • cat /var/log/kern.log - 显示内核日志.

系统资源

命令检查系统性能和资源使用情况.

• • top - 显示Linux任务.

• • htop - 交互式过程查看器.

• • uptime - 显示系统正常运行时间.

• • ps aux - 显示当前正在运行的过程.

• • pstree - 将运行过程显示为树状.

• • free -m - 在MB中显示内存使用量.

进程

调查运行过程的命令。

• • ps -ef - 在系统上显示所有当前运行的过程.

• • pstree -p - 以PID的形式显示以树状格式的进程.

• • top -n 1 - 显示顶级进程。

• • ps -eo pid,tt,user,fname,rsz - 以自定义格式展示过程.

• • lsof -i - 列出与网络连接关联的打开文件.

服务

命令检查系统上运行的服务.

• • chkconfig --list - 列出所有服务及其当前州.

• • service --status-all - 显示所有服务的状态.

• • systemctl list-units --type=service - 列出运行服务（SystemD）.

文件

命令进行文件调查。

• • ls -alh - 以可读格式显示所有文件。

• • find / -name [filename] - 查找特定文件。

• • find / -mtime -[N] - 查找最近N天修改的文件。

• • find / -atime -[N] - 查找最近N天访问的文件。

• • find / -size +[N]c - 查找大于n字节的文件。

网络设置

用于查看网络配置和连接的命令。

• • ifconfig -a - 显示所有网络接口。

• • netstat -antup - 显示主动网络连接。

• • iptables -L -n -v - 显示所有iptables规则。

• • route -n - 显示路由表。

• • ss -tuln - 显示听力端口并建立的连接。

附加命令

• • grep :0: /etc/passwd - 查找根帐户.

• • find / -nouser -print - 在没有用户的情况下查找文件.

• • cat /etc/shadow - 查看加密密码和帐户到期信息.

• • cat /etc/group - 查看组信息。

• • cat /etc/sudoers - 查看sudoers文件。

• • tail /var/log/auth.log - 查看身份验证日志中的最后几个条目。

• • history | less - 查看命令历史记录。

• • cat /proc/meminfo - 显示内存信息。

• • cat /proc/mounts - 显示安装的文件系统。

• • lsof -p [pid] - 列出一个进程的打开文件（使用特定的PID）。

• • service --status-all - 列出所有服务及其状态。

• • cat /etc/crontab - 查看计划任务的CRON表。

• • more /etc/resolv.conf - 查看DNS设置.

• • more /etc/hosts - 查看主机文件条目.

• • iptables -L -n - 列出所有IPTABLES规则，而无需解决IP地址。

• • find /home/ -type f -size +512k -exec ls -lh {} ; - 在主目录中查找大于512KB的文件。

• • find /etc/ -readable -type f 2>/dev/null - 在ETC目录中查找可读的文件。

• • find / -mtime -2 -ls - 查找最近两天修改的文件。

• • netstat -nap - 显示网络连接和关联的程序。

• • arp -a - 查看ARP表。

• • echo $PATH - 显示路径环境变量。

运行脚本

要运行事件响应Linux脚本，请按照以下步骤：

1. 1. 从存库下载脚本.

2. 2. 给出脚本可执行的权限：chmod +x IRLinux_Script.sh

3. 3. 使用适当的权限执行脚本（某些命令可能需要根本权限）：sudo ./IRLinux_Script.sh

4. 4. 脚本完成执行后，输出将保存在 /tmp/IRLinux.txt.

5. 5. 您可以使用文本编辑器查看输出或使用命令 cat or less:less /tmp/IRLinux.txt

Note: 确保脚本在访问系统文件和配置时在安全环境中运行。根据需要修改脚本的特定用例。

输出

脚本下载传送

下载检测脚本: https://github.com/vm32/Linux-Incident-Response

原文始发于微信公众号（格格巫和蓝精灵）：Linux安全事件响应