Liste over viktige Linux -sikkerhetskommandoer

Bruke kommandoen Netstat For å finne åpne porter:

En av de mest grunnleggende kommandoene for å overvåke tilstanden til enheten din er Netstat som viser de åpne portene og etablerte tilkoblinger.

Under et eksempel på Netstat Med tilleggsalternativer:

# netstat -anp

Hvor:
-en: viser staten for stikkontakter.
-n: viser IP -adresser i stedet for hots.
-p: viser programmet som etablerer oppholdet.

Et utgangsekstrakt bedre utseende:

Den første kolonnen viser protokollen, du kan se både TCP og UDP er inkludert, det første skjermbildet viser også UNIX -stikkontakter. Hvis du er mistenksom over at noe er galt, er det selvfølgelig obligatorisk å sjekke porter.

Sette grunnleggende regler med UFW:

Linuxhint har publisert store opplæringsprogrammer om UFW og iptables, her vil jeg fokusere på en restriktiv politisk brannmur. Det anbefales å holde en restriktiv politikk som nekter all innkommende trafikk med mindre du vil at den skal være tillatt.

For å installere UFW -løp:

# Apt Installer UFW

For å aktivere brannmuren på Startup Run:

# sudo ufw aktiver

Bruk deretter en standard restriktiv policy ved å kjøre:

# sudo ufw standard nekt innkommende

Du må åpne portene du vil bruke manuelt du vil bruke ved å kjøre:

# UFW tillat

Revidere deg med nmap:

NMAP er, om ikke den beste, en av de beste sikkerhetsskannerne i markedet. Det er hovedverktøyet som brukes av sysadmins for å revidere nettverkssikkerheten deres. Hvis du er i en DMZ kan du skanne den eksterne IP -en, kan du også skanne ruteren eller din lokale vert.

En veldig enkel skanning mot din localhost ville være:

Som du ser at utgangen viser at porten 25 og port 8084 er åpne.

NMAP har mange muligheter, inkludert OS, versjonsdeteksjon, sårbarhetsskanninger osv.
Hos Linuxhint har vi publisert mange opplæringsprogrammer fokusert på NMAP og dens forskjellige teknikker. Du kan finne dem her.

Kommandoen Chkrootkit For å sjekke systemet ditt for chrootkit -infeksjoner:

Rootkits er sannsynligvis den farligste trusselen mot datamaskiner. Kommandoen chkrootkit

(sjekk rootkit) kan hjelpe deg med å oppdage kjente rootkits.

For å installere Chkrootkit Run:

# Apt installer chkrootkit

Løp deretter:

# sudo chkrootkit

Bruke kommandoen topp For å sjekke prosesser som tar de fleste av ressursene dine:

For å få en rask visning på å kjøre ressurser kan du bruke kommandotoppen, på terminalkjøringen:

# topp

Kommandoen iftop For å overvåke nettverkstrafikken din:

Et annet flott verktøy for å overvåke trafikken din er iftop,

# sudo iftop

I mitt tilfelle:

# sudo iftop wlp3s0

Kommandoen LSOF (liste opp åpen fil) for å se etter Filsprocesses Association:

Etter å ha vært mistenkelig er noe galt, kommandoen lsof kan liste deg de åpne prosessene og til hvilke programmer de er tilknyttet, på konsollkjøringen:

# LSOF

WHO og W for å vite hvem som er logget inn på enheten din:

I tillegg, for å vite hvordan du skal forsvare systemet ditt, er det obligatorisk å vite hvordan du reagerer før du er mistenkelig. Systemet ditt har blitt hacket. En av de første kommandoene som kjøres før en slik situasjon er w eller WHO som vil vise hvilke brukere som er logget inn i systemet ditt og gjennom hvilken terminal. La oss begynne med kommandoen w:

# w

Merk: Kommandoer “W” og “WHO” viser kanskje ikke brukere som er logget fra pseudoterminaler som XFCE Terminal eller Mate Terminal.

Kolonnen som heter BRUKER Viser Brukernavn, Skjermbildet over viser at den eneste brukerloggede er Linuxhint, kolonnen Tty viser terminalen (TTY7), den tredje kolonnen FRA Viser brukeradressen, i dette scenariet er det ikke eksterne brukere logget inn, men hvis de ble logget inn, kunne du se IP -adresser der. De LOGG INN@ Kolonnen spesifiserer tiden som brukeren logget inn, kolonnen JCPU oppsummerer protokollen med prosess utført i terminalen eller TTY. de PCPU Viser CPU -en som ble brukt av prosessen som er oppført i den siste kolonnen HVA.

Samtidig som w tilsvarer å utføre oppetid, WHO og ps -a Sammen er et annet alternativ, til tross for med mindre informasjon, kommandoen "WHO”:

# WHO

Kommandoen siste For å sjekke påloggingsaktiviteten:

En annen måte å føre tilsyn med brukernes aktivitet er gjennom kommandoen "sist" som gjør det mulig å lese filen WTMP som inneholder informasjon om innloggingsadgang, påloggingskilde, påloggingstid, med funksjoner for å forbedre spesifikke påloggingshendelser, for å prøve den kjører:

Kontrollere påloggingsaktiviteten med kommandoen siste:

Kommandoen leser sist filen WTMP For å finne informasjon om påloggingsaktivitet, kan du skrive den ut ved å kjøre:

# siste

Kontrollere Selinux -statusen din og aktiver den om nødvendig:

Selinux er restriksjonssystem som forbedrer all Linux -sikkerhet, det kommer som standard på noen Linux -distribusjoner, det er mye forklart her på Linuxhint.

Du kan sjekke Selinux -statusen din ved å kjøre:

# sestatus

Hvis du får en kommando ikke funnet feil, kan du installere Selinux ved å kjøre:

# Apt Installer Selinux-Basics Selinux-Policy-Default -y

Løp deretter:

# selinux-aktivering

Sjekk enhver brukeraktivitet ved hjelp av kommandoen historie:

Når som helst kan du sjekke hvilken som helst brukeraktivitet (hvis du er rot) ved å bruke kommandohistorikken som er logget som brukeren du vil overvåke:

# historie

Kommandohistorikken leser filen Bash_History for hver bruker. Selvfølgelig kan denne filen forfalsket, og du som root kan lese denne filen direkte uten å påberope kommandohistorikken. Likevel anbefales hvis du vil overvåke aktivitet i aktivitet.

Jeg håper du fant denne artikkelen om viktige Linux -sikkerhetskommandoer nyttige. Fortsett å følge Linuxhint for flere tips og oppdateringer om Linux og nettverksbygging.