Phenquestions
Коришћење команде нетстат да бисте пронашли отворене портове:
Једна од најосновнијих команди за надгледање стања вашег уређаја је нетстат која приказује отворене луке и успостављене везе.
Испод примера нетстат са додатним опцијама:
# нетстат -анп
Где:
-а: показује стање за утичнице.
-н: приказује ИП адресе уместо приступних тачака.
-п: приказује програм успостављања конекције.
Извод извода бољи изглед:
Прва колона приказује протокол, видите да су укључени и ТЦП и УДП, прва снимка такође приказује УНИКС утичнице. Ако сумњате да нешто није у реду, провера портова је наравно обавезна.
Постављање основних правила са УФВ:
ЛинукХинт је објавио сјајне водиче о УФВ-у и Иптаблес-у, овде ћу се фокусирати на заштитни зид рестриктивне политике. Препоручује се да рестриктивне смернице забрањују сав долазни саобраћај, осим ако не желите да то буде дозвољено.
Да бисте инсталирали УФВ рун:
# апт инсталирати уфв
Да бисте омогућили заштитни зид приликом покретања:
# судо уфв омогући
Затим примените подразумевану рестриктивну политику покретањем:
# Судо уфв подразумевано одбија долазне
Мораћете ручно да отворите портове које желите да користите покретањем:
# уфв дозволиРевидирање себе са нмап:
Нмап је, ако не и најбољи, један од најбољих безбедносних скенера на тржишту. То је главни алат који сисадмини користе за ревизију своје мрежне сигурности. Ако се налазите у ДМЗ-у, можете да скенирате спољну ИП адресу, такође можете да скенирате свој рутер или локалног домаћина.
Врло једноставно скенирање против вашег локалног хоста било би:
Као што видите, излаз показује да су мој порт 25 и порт 8084 отворени.
Нмап има пуно могућности, укључујући ОС, откривање верзија, скенирање рањивости итд.
У ЛинукХинту смо објавили пуно водича усредсређених на Нмап и његове различите технике. Можете их пронаћи овде.
Команда цхкрооткит да бисте проверили да ли ваш систем има инфекције цхрооткит-ом:
Основни програми су вероватно најопаснија претња рачунарима. Команда цхкрооткит
(проверите рооткит) вам може помоћи да откријете познате рооткит-ове.
Да бисте инсталирали цхкрооткит рун:
# апт инсталирати цхкрооткит
Затим покрените:
# судо цхкрооткит
Користећи наредбу врх да бисте проверили процесе који узимају већину ваших ресурса:
Да бисте добили брз поглед на покренуте ресурсе, можете користити команду топ, на терминалу рун:
# топ
Команда ифтоп за надгледање мрежног саобраћаја:
Још један сјајан алат за надгледање промета је ифтоп,
# судо ифтопУ мом случају:
# судо ифтоп влп3с0
Команда лсоф (списак отворених датотека) за проверу датотека <> придруживања процеса:
Након сумње да нешто није у реду, наредба такође могу да вам прикажу отворене процесе и којим су програмима придружени на покретању конзоле:
# такође
Ко и ко ће знати ко је пријављен на ваш уређај:
Поред тога, да бисте знали како да одбраните свој систем, обавезно је да знате како да реагујете пре него што сумњате да је ваш систем хакован. Једна од првих команди која се покренула пре такве ситуације је в или СЗО који ће показати који су корисници пријављени у ваш систем и преко којег терминала. Почнимо са наредбом в:
# в
Белешка: наредбе „в“ и „вхо“ можда неће приказивати кориснике пријављене са псеудо терминала попут Ксфце терминала или МАТЕ терминала.
Колона звана КОРИСНИК приказује корисничко име, горњи снимак екрана приказује једини пријављени корисник је линукхинт, колона ТТИ показује терминал (тти7), трећу колону ОД приказује корисничку адресу, у овом сценарију нису пријављени удаљени корисници, али ако су пријављени могли бисте тамо видети ИП адресе. Тхе [емаил заштићен] колона наводи време у којем се корисник пријавио, колона ЈЦПУ резимира записнике процеса извршених у терминалу или ТТИ. тхе ПЦПУ приказује ЦПУ који користи процес наведен у последњој колони ШТА.
Док в једнако извршењу уптиме, СЗО и пс -а заједно је друга алтернатива, упркос са мање информација, наредба „СЗО”:
# СЗО
Команда последњи да бисте проверили активност пријављивања:
Други начин надзора активности корисника је путем наредбе „ласт“ која омогућава читање датотеке втмп који садржи информације о приступу пријављивању, извору пријаве, времену пријављивања, са функцијама за побољшање одређених догађаја пријављивања, како би се покушало покренути:
Провера активности пријављивања помоћу наредбе последњи:
Команда последњи пут чита датотеку втмп да бисте пронашли информације о активности пријављивања, можете их одштампати покретањем:
# последња
Провера статуса вашег СЕЛинук-а и омогућите га по потреби:
СЕЛинук је систем ограничења који побољшава било коју Линук сигурност, подразумевано долази на неким Линук дистрибуцијама, овде је широко објашњено на линукхинт.
Можете провјерити свој СЕЛинук статус покретањем:
# сестатусАко добијете грешку наредбе није пронађена, можете инсталирати СЕЛинук покретањем:
# Апт инсталирати селинук-басицс селинук-полици-дефаулт -и
Затим покрените:
# селинук-ацтиватеПроверите било коју активност корисника помоћу наредбе историја:
У било ком тренутку можете да проверите било коју активност корисника (ако сте роот) коришћењем историје наредби евидентиране као корисник кога желите да надгледате:
# историја
Историја наредби чита датотеку басх_хистори сваког корисника. Наравно, ова датотека се може фалсификовати и ви као роот можете је директно прочитати без позивања на историју наредби. Ипак, ако желите да пратите активности, препоручује се покретање.
Надам се да вам је овај чланак о основним Линук сигурносним наредбама био користан. Пратите ЛинукХинт за више савета и ажурирања о Линуку и умрежавању.
