Linux安全检查基线

1.检查用户登录情况

lastlog命令，检查最后登录时间

[root@localhost]# lastlog
用户名           端口     来自             最后登陆时间
root             pts/0    192.168.124.88   四 2月 18 10:05:04 +0800 2021
bin              pts/1                     二 7月 21 18:35:54 +0800 2020
daemon                                     **从未登录过**
adm                                        **从未登录过**
lp                                         **从未登录过**
sync                                       **从未登录过**
shutdown                                   **从未登录过**
ossec                                      **从未登录过**
ntp                                        **从未登录过**
test                                       **从未登录过**
testx            pts/1                     二 7月 21 18:35:54 +0800 2020
hids             pts/0    192.168.124.88   四 2月 18 10:05:04 +0800 2021
tss                                        **从未登录过**
tcpdump                                    **从未登录过**

w命令

[root@localhost]# w
 14:09:13 up 454 days, 17:19,  1 user,  load average: 0.18, 0.17, 0.15
USER     TTY      FROM             LOGIN@   IDLE   JCPU   PCPU WHAT
root     pts/0    192.168.124.88   10:05    1.00s  0.05s  0.05s -bash

lastb命令，检查登录失败日志

[root@localhost]# lastb
root     ssh:notty    192.168.60.48    Thu Feb  4 17:39 - 17:39  (00:00)

btmp begins Thu Feb  4 17:39:35 2021

2.检查命令历史记录

root用户history

[root@localhost]# history
    1  cd /opt/security-agent/plugin/
    2  md5sum run_filebeat.sh
    3  ps -aux | grep filebeat
    4  cd /var/log/security-agent/
    5  tail -n 100 2021-1-11.log
    6  ps -aux
    7  ps -aux | grep filebeat

打开/home各帐号目录下的.bash_history，查看普通帐号的历史命令

cat .bash_history >> history.txt

保存1万条命令

sed -i 's/^HISTSIZE=1000/HISTSIZE=10000/g' /etc/profile

在/etc/profile的文件尾部添加如下行数配置信息，可以显示登录的IP地址、执行命令时间等信息：

USER_IP=`who -u am i 2>/dev/null | awk '{print $NF}' | sed -e 's/[()]//g'`
if [ "$USER_IP" = "" ]
then
USER_IP=`hostname`
fi
export HISTTIMEFORMAT="%F %T $USER_IP `whoami` "
shopt -s histappend
export PROMPT_COMMAND="history -a"

让配置生效

source /etc/profile

3.检查端口开放

使用netstat 网络连接命令，分析可疑端口、IP、PID

[root@localhost]# netstat -antlp|more
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:26379           0.0.0.0:*               LISTEN      5332/redis-sentinel
tcp        0      0 0.0.0.0:6379            0.0.0.0:*               LISTEN      5231/redis-server 0
tcp        0      0 192.168.3.155:2379      0.0.0.0:*               LISTEN      32340/./etcd
tcp        0      0 127.0.0.1:2379          0.0.0.0:*               LISTEN      32340/./etcd
tcp        0      0 192.168.3.155:2380      0.0.0.0:*               LISTEN      32340/./etcd
tcp        0      0 192.168.3.155:8300      0.0.0.0:*               LISTEN      32536/./consul
tcp        0      0 192.168.3.155:8301      0.0.0.0:*               LISTEN      32536/./consul
tcp        0      0 192.168.3.155:8302      0.0.0.0:*               LISTEN      32536/./consul
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      1091/sshd

4.检查进程

ps命令和top命令，这个就不解释了。。

ps aux
top

5.开机启动项

查看运行级别命令 runlevel

[root@localhost]# runlevel
N 3

运行级别含义
0 关机
1 单用户模式，可以想象为windows的安全模式，主要用于系统修复
2 不完全的命令行模式，不含NFS服务
3 完全的命令行模式，就是标准字符界面
4 系统保留
5 图形模式
6 重启动

检查启动项

more /etc/rc.local /etc/rc.d/rc[0~6].d

ls -l /etc/rc.d/rc[0~6].d/

6.定时任务

crontab

crontab -l  #列出某个用户cron服务的详细内容

默认编写的crontab文件会保存在 /var/spool/cron/用户名
例如: /var/spool/cron/root

查看目录中是否存在恶意脚本

more /var/spool/cron/* 
more /etc/crontab
more /etc/cron.d/*
more /etc/cron.daily/* 
more /etc/cron.hourly/* 
more /etc/cron.monthly/*
more /etc/cron.weekly/
more /etc/anacrontab
more /var/spool/anacron/*

7.服务检查

查询已安装的服务

[root@localhost]# chkconfig  --list

注：该输出结果只显示 SysV 服务，并不包含
原生 systemd 服务。SysV 配置数据
可能被原生 systemd 配置覆盖。

      要列出 systemd 服务，请执行 'systemctl list-unit-files'。
      查看在具体 target 启用的服务请执行
      'systemctl list-dependencies [target]'。

netconsole      0:关 1:关 2:关 3:关 4:关 5:关 6:关
network         0:关 1:关 2:开 3:开 4:开 5:开 6:关

查看当前服务

ps aux | grep crond

查看服务enabled状态

systemctl list-unit-files | grep enabled

8.系统日志检查

日志默认存放位置：/var/log/
查看日志配置情况：more /etc/rsyslog.conf

文件路径	说明
/var/log/cron	记录了系统定时任务相关的日志
/var/log/cups	记录打印信息的日志
/var/log/dmesg	记录了系统在开机时内核自检的信息，也可以使用dmesg命令直接查看内核自检信息
/var/log/mailog	记录邮件信息
/var/log/message	记录系统重要信息的日志。这个日志文件中会记录Linux系统的绝大多数重要信息，如果系统出现问题时，首先要检查的就应该是这个日志文件
/var/log/btmp	记录错误登录日志，这个文件是二进制文件，不能直接vi查看，而要使用lastb命令查看
/var/log/lastlog	记录系统中所有用户最后一次登录时间的日志，这个文件是二进制文件，不能直接vi，而要使用lastlog命令查看
/var/log/wtmp	永久记录所有用户的登录、注销信息，同时记录系统的启动、重启、关机事件。同样这个文件也是一个二进制文件，不能直接vi，而需要使用last命令来查看
/var/log/utmp	记录当前已经登录的用户信息，这个文件会随着用户的登录和注销不断变化，只记录当前登录用户的信息。同样这个文件不能直接vi，而要使用w,who,users等命令来查询
/var/log/secure	记录验证和授权方面的信息，只要涉及账号和密码的程序都会记录，比如SSH登录，su切换用户，sudo授权，甚至添加用户和修改用户密码都会记录在这个日志文件中

定位有多少IP在爆破主机的root帐号：

grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

定位有哪些IP在爆破：

grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c

爆破用户名字典

grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr

登录成功的IP

grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

登录成功的日期、用户名、IP

grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'

增加用户的日志

grep "useradd" /var/log/secure

删除用户的日志

grep "userdel" /var/log/secure

查看具有root权限的用户

awk -F: '$3==0{print $1}' /etc/passwd

查看可使用ssh登录的用户

cat /etc/passwd | grep -E '/bin/bash'

人面猴
序言：七十年代末，一起剥皮案震惊了整个滨河市，随后出现的几起案子，更是在滨河造成了极大的恐慌，老刑警刘岩，带你破解...
沈念sama阅读 196,264评论 5赞 462
死咒
序言：滨河连续发生了三起死亡事件，死亡现场离奇诡异，居然都是意外死亡，警方通过查阅死者的电脑和手机，发现死者居然都...
沈念sama阅读 82,549评论 2赞 373
救了他两次的神仙让他今天三更去死
文/潘晓璐我一进店门，熙熙楼的掌柜王于贵愁眉苦脸地迎上来，“玉大人，你说我怎么就摊上这事。” “怎么了？”我有些...
开封第一讲书人阅读 143,389评论 0赞 325
道士缉凶录：失踪的卖姜人
文/不坏的土叔我叫张陵，是天一观的道长。经常有香客问我，道长，这世上最难降的妖魔是什么？我笑而不...
开封第一讲书人阅读 52,616评论 1赞 267
港岛之恋（遗憾婚礼）
正文为了忘掉前任，我火速办了婚礼，结果婚礼上，老公的妹妹穿的比我还像新娘。我一直安慰自己，他们只是感情好，可当我...
茶点故事阅读 61,461评论 5赞 358
恶毒庶女顶嫁案：这布局不是一般人想出来的
文/花漫我一把揭开白布。她就那样静静地躺着，像睡着了一般。火红的嫁衣衬着肌肤如雪。梳的纹丝不乱的头发上，一...
开封第一讲书人阅读 46,351评论 1赞 273
城市分裂传说
那天，我揣着相机与录音，去河边找鬼。笑死，一个胖子当着我的面吹牛，可吹牛的内容都是我干的。我是一名探鬼主播，决...
沈念sama阅读 36,776评论 3赞 387
双鸳鸯连环套：你想象不到人心有多黑
文/苍兰香墨我猛地睁开眼，长吁一口气：“原来是场噩梦啊……” “哼！你这毒妇竟也来了？” 一声冷哼从身侧响起，我...
开封第一讲书人阅读 35,414评论 0赞 255
万荣杀人案实录
序言：老挝万荣一对情侣失踪，失踪者是张志新（化名）和其女友刘颖，没想到半个月后，有当地人在树林里发现了一具尸体，经...
沈念sama阅读 39,722评论 1赞 294
护林员之死
正文独居荒郊野岭守林人离奇死亡，尸身上长有42处带血的脓包…… 初始之章·张勋以下内容为张勋视角年9月15日...
茶点故事阅读 34,760评论 2赞 314
白月光启示录
正文我和宋清朗相恋三年，在试婚纱的时候发现自己被绿了。大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
茶点故事阅读 36,537评论 1赞 326
活死人
序言：一个原本活蹦乱跳的男人离奇死亡，死状恐怖，灵堂内的尸体忽然破棺而出，到底是诈尸还是另有隐情，我是刑警宁泽，带...
沈念sama阅读 32,381评论 3赞 315
日本核电站爆炸内幕
正文年R本政府宣布，位于F岛的核电站，受9级特大地震影响，放射性物质发生泄漏。R本人自食恶果不足惜，却给世界环境...
茶点故事阅读 37,787评论 3赞 300
男人毒药：我在死后第九天来索命
文/蒙蒙一、第九天我趴在偏房一处隐蔽的房顶上张望。院中可真热闹，春花似锦、人声如沸。这庄子的主人今日做“春日...
开封第一讲书人阅读 29,030评论 0赞 19
一桩弑父案，背后竟有这般阴谋
文/苍兰香墨我抬头看了看天上的太阳。三九已至，却和暖如春，着一层夹袄步出监牢的瞬间，已是汗流浃背。一阵脚步声响...
开封第一讲书人阅读 30,304评论 1赞 252
情欲美人皮
我被黑心中介骗来泰国打工，没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留，地道东北人。一个月前我还...
沈念sama阅读 41,734评论 2赞 342
代替公主和亲
正文我出身青楼，却偏偏与公主长得像，于是被迫代替她去往敌国和亲。传闻我的和亲对象是个残疾皇子，可洞房花烛夜当晚...
茶点故事阅读 40,943评论 2赞 336