Linux 上的事件响应—寻找正确的位置

admin 2024年2月24日10:24:38评论36 views字数 4997阅读16分39秒阅读模式

介绍:

在 Linux 上管理事件响应可能会带来挑战。与其他一些操作系统相比,Linux 可能具有一组更有限的内置取证和事件响应工具

在 Linux 上管理事件时,它涉及使用各种有用的命令。在本文中,我们将探讨 Linux 上事件响应的基本命令。内容来自从各种互联网来源收集的综合信息,所有信息均在文档末尾的参考部分正确引用。

请注意,此列表并非详尽无遗;相反,它作为一个起点指南。

Linux 文件层次结构:

参考资料 : Linux Directory Structure Explained for Beginners (linuxhandbook.com)

要监视的重要目录:

  • 155

用户帐户:

目录:/etc/passwd

要使用的命令:

下面的命令使用 'cat' 进入 /etc/passwd 并将结果导出到users.txt文件。

cat /etc/passwd > users.txt

密码修改

目录:/etc/shadow

使用的命令:

cat /etc/shadow > output.txt

有关组的信息:

目录:/etc/group

使用的命令:

cat /etc/group > output.txt

有关 sudo 权限的信息:

目录: /etc/sudoers

使用的命令:

cat /etc/sudoers > output.txt

过程:

显示所有正在运行的进程的列表:

使用的命令:

ps aux

显示特定用户的进程:

使用的命令:

ps -u username

显示流程树:

使用的命令:

pstree

按名称显示特定进程:

使用的命令:

ps -ef | grep process_name

按 PID(进程 ID)显示特定进程:

使用的命令:

ps -p PID

重要日志位置:

一般日志:

目录:/var/log/messages

使用的命令:

cat /var/log/messages

身份验证日志

目录:/var/log/auth.log

使用的命令:

cat /var/log/auth.log

内核日志

目录:/var/log/kern.log

使用的命令:

cat /var/log/kern.log

cron 作业中的 crond 日志

目录:/var/log/cron.log

使用的命令:

cat /var/log/cron.log

Apache 访问日志目录

目录:/var/log/apache2

使用的命令:

cat /var/log/apache2/access.log
cat /var/log/apache2/error.log
cat /var/log/apache2/other_vhosts_access.log 

系统启动日志

目录:/var/log/boot.log

使用的命令:

cat /var/log/boot.log > output.txt

系统日志

目录:/var/log/syslog

使用的命令:

cat /var/log/syslog > sys.txt

套接字统计信息 (ss) 命令:

参考资料和信用:

Linux 事件响应 — 使用 ss 进行网络分析 |无

ss 工具是您在终端中键入的命令,用于查看有关计算机网络的信息。这就像是一个名为 netstat 的旧命令的更快、更简单的版本,它不再被广泛使用。

列出 udp 套接字

ss -u 

列出 TCP 套接字

ss -t > 

列出侦听插座

ss -l 

列出可疑连接

ss -tp state established dport = :[port number in question]

使用 ss 命令筛选套接字结果:

此命令将列出所有活动连接。

ss state established

带有参数的 ss 命令详细信息:

ss [ OPTIONS ]
       ss [ OPTIONS ] [ FILTER ]
   -h, --help          this message
   -V, --version       output version information
   -n, --numeric       don't resolve service names
   -r, --resolve       resolve host names
   -a, --all           display all sockets
   -l, --listening     display listening sockets
   -o, --options       show timer information
   -e, --extended      show detailed socket information
   -m, --memory        show socket memory usage
   -p, --processes     show process using socket
   -i, --info          show internal TCP information
       --tipcinfo      show internal tipc socket information
   -s, --summary       show socket usage summary
       --tos           show tos and priority information
       --cgroup        show cgroup information
   -b, --bpf           show bpf filter socket information
   -E, --events        continually display sockets as they are destroyed
   -Z, --context       display process SELinux security contexts
   -z, --contexts      display process and socket SELinux security contexts
   -N, --net           switch to the specified network namespace name

-4, --ipv4 display only IP version 4 sockets
-6, --ipv6 display only IP version 6 sockets
-0, --packet display PACKET sockets
-t, --tcp display only TCP sockets
-M, --mptcp display only MPTCP sockets
-S, --sctp display only SCTP sockets
-u, --udp display only UDP sockets
-d, --dccp display only DCCP sockets
-w, --raw display only RAW sockets
-x, --unix display only Unix domain sockets
--tipc display only TIPC sockets
--vsock display only vsock sockets
-f, --family=FAMILY display sockets of type FAMILY
FAMILY := {inet|inet6|link|unix|netlink|vsock|tipc|xdp|help}

-K, --kill forcibly close sockets, display what was closed
-H, --no-header Suppress header line
-O, --oneline socket's data printed on a single line
--inet-sockopt show various inet socket options

-A, --query=QUERY, --socket=QUERY
QUERY := {all|inet|tcp|mptcp|udp|raw|unix|unix_dgram|unix_stream|unix_seqpacket|packet|netlink|vsock_stream|vsock_dgram|tipc}[,QUERY]

-D, --diag=FILE Dump raw information about TCP sockets to FILE
-F, --filter=FILE read filter information from FILE
FILTER := [ state STATE-FILTER ] [ EXPRESSION ]
STATE-FILTER := {all|connected|synchronized|bucket|big|TCP-STATES}
TCP-STATES := {established|syn-sent|syn-recv|fin-wait-{1,2}|time-wait|closed|close-wait|last-ack|listening|closing}
connected := {established|syn-sent|syn-recv|fin-wait-{1,2}|time-wait|close-wait|last-ack|closing}
synchronized := {established|syn-recv|fin-wait-{1,2}|time-wait|close-wait|last-ack|closing}
bucket := {syn-recv|time-wait}
big := {established|syn-sent|fin-wait-{1,2}|closed|close-wait|last-ack|listening|closing}

登录信息:

列出命令历史记录:

使用的命令:

cat ~/.bash_history 

上次登录的用户列表:

使用的命令:

last -awx

列出/打印在端点上登录的当前用户:

使用的命令:

logname

服务清单

列出终结点上的所有活动服务:

使用的命令:

service --status-all | grep '+'

列出终结点上的所有服务:

使用的命令:

service --status-all 

网络伪影:

在侦听端口上运行的进程:

使用的命令:

lsof –i

检查是否有任何异常的 arp 条目:

使用的命令:

arp –a

使用特定字符串查找过去 2 天内的未知文件,然后将输出解析为文本文件。

使用的命令:

注意:在本例中,我们搜索的是字符串 — update。

find / -mtime -2 -ls | grep 'update' > output.txt

检查 IPtables 和 UFW(简单防火墙)

UFW — 阻止 IP 地址 — 阻止源地址

使用的命令:

ufw deny from 95.156.72.34

UFW — 阻止 IP 地址 — 阻止目标地址。

使用的命令:

ufw deny to 95.156.72.34

IPtables — 列出所有规则。

使用的命令:

iptables --list-rules

IPtables —阻止 IP 表(INPUT 链)上的 IP

使用的命令:

注意:INPUT链负责处理传入到本地系统的数据包。基本上,这是一个将数据包从外部 IP 地址丢弃到内部资源的命令。

iptables -A INPUT -s 95.156.72.34 -j DROP

允许 IP-on-IP 表(INPUT 链)

使用的命令:

注意:INPUT链负责处理传入本地系统的数据包。基本上,这是一个接受从外部 IP 地址到内部资源的数据包的命令。

iptables -A INPUT -s 8.8.8.8 -j ACCEPT

IPtables — 阻止 IP 表上的 IP(INPUT 链)

使用的命令:

注意:OUTPUT链负责处理传出数据包。

iptables -A OUTPUT -s 95.156.72.34 -j DROP

IPtables — 允许 IP-on-IP 表(INPUT 链)

使用的命令:

注意:OUTPUT链负责处理传出数据包

iptables -A OUTPUT -s 8.8.8.8 -j ACCEPT

CRON职位 :

要列出并检查所有 cron 作业,请执行以下操作:

使用的命令:

crontab -l 

列出与特定用户名关联的所有 cron 作业

在本例中,我们使用了“root”

使用的命令:

crontab -l -u root

检查整个系统上的 cron 作业:

目录:/etc/crontab

使用的命令:

cat /etc/crontab

显示 Linux 系统上当前挂载的文件系统的快照。

目录 : /proc/mounts

使用的命令:

cat /proc/mounts

显示 SSH 密钥的配置信息:

目录 — /etc/ssh

检查此目录中是否有任何配置更改或已添加新的配置文件。

cat /etc/ssh/sshconfig 
cat /etc/ssh/sshconfig.d

引用:

  • UFW Essentials:常见防火墙规则和命令 |数字海洋
  • Linux 事件响应 — 使用 ss 进行网络分析 |无
  • Linux 取证命令备忘单 |Ef 的日志 (fahmifj.github.io)
  • 适用于 Linux 的入侵发现备忘单 |SANS 备忘单
  • 关于事件响应和入侵检测的Linux备忘单|Yuta的IT信息共享和学习(note.com)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年2月24日10:24:38
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Linux 上的事件响应—寻找正确的位置https://cn-sec.com/archives/2522014.html

发表评论

匿名网友 填写信息