Liste over vigtige Linux-sikkerhedskommandoer

Denne tutorial viser nogle af de mest basale Linux-kommandoer, der er orienteret om sikkerhed.

Brug af kommandoen netstat at finde åbne porte:

En af de mest basale kommandoer til at overvåge tilstanden på din enhed er netstat som viser de åbne porte og etablerede forbindelser.

Nedenfor et eksempel på netstat med ekstra output output:

# netstat -anp

Hvor:
-en: viser tilstanden for stikkontakter.
-n: viser IP-adresser i stedet for hots.
-p: viser programmet, der etablerer konenktionen.

Et outputekstrakt bedre udseende:

Den første kolonne viser protokollen, du kan se, at både TCP og UDP er inkluderet, det første skærmbillede viser også UNIX-stik. Hvis du er mistænksom for, at noget er galt, er det naturligvis obligatorisk at kontrollere porte.

Sætte grundlæggende regler med UFW:

LinuxHint har offentliggjort gode tutorials om UFW og Iptables, her vil jeg fokusere på en restriktiv politisk firewall. Det anbefales at holde en restriktiv politik, der nægter al indgående trafik, medmindre du vil have den tilladt.

Sådan installeres UFW-kørsel:

# apt install ufw

Sådan aktiveres firewall ved opstart:

# sudo ufw aktiver

Anvend derefter en standardbegrænsende politik ved at køre:

# Sudo ufw standard nægter indgående

Du skal manuelt åbne de porte, du vil bruge, ved at køre:

# ufw tillad

Auditing dig selv med nmap:

Nmap er, hvis ikke den bedste, en af de bedste sikkerhedsscannere på markedet. Det er det vigtigste værktøj, der bruges af sysadmins til at kontrollere deres netværkssikkerhed. Hvis du er i en DMZ, kan du scanne din eksterne IP, du kan også scanne din router eller din lokale vært.

En meget enkel scanning mod din lokale vært ville være:

Som du ser viser output, at min port 25 og port 8084 er åben.

Nmap har mange muligheder, herunder OS, detektion af version, sårbarhedsscanninger osv.
På LinuxHint har vi offentliggjort en masse tutorials med fokus på Nmap og dens forskellige teknikker. Du kan finde dem her.

Kommandoen chkrootkit for at kontrollere dit system for chrootkit-infektioner:

Rootkits er sandsynligvis den farligste trussel mod computere. Kommandoen chkrootkit

(check rootkit) kan hjælpe dig med at opdage kendte rootkits.

Sådan installeres chkrootkit-kørsel:

# apt install chkrootkit

Kør derefter:

# sudo chkrootkit

Brug af kommandoen top for at kontrollere processer, der tager de fleste af dine ressourcer:

For at få et hurtigt overblik over kørende ressourcer kan du bruge kommandotoppen på terminalkørslen:

# top

Kommandoen iftop for at overvåge din netværkstrafik:

Et andet godt værktøj til at overvåge din trafik er iftop,

# sudo iftop

I mit tilfælde:

# sudo iftop wlp3s0

Kommandoen lsof (liste åben fil) til at kontrollere for filer <> processer tilknytning:

Efter at være mistænksom er der noget galt, kommandoen lsof kan vise dig de åbne processer, og til hvilke programmer de er knyttet, på konsolkørslen:

# lsof

Hvem og w at vide, hvem der er logget ind på din enhed:

Derudover er det obligatorisk at vide, hvordan man kan forsvare dit system, at vide, hvordan man reagerer, før du er mistænksom, dit system er blevet hacket. En af de første kommandoer, der skal køre, før en sådan situation er w eller hvem som viser hvilke brugere der er logget ind på dit system og gennem hvilken terminal. Lad os begynde med kommandoen w:

# w

Bemærk: kommandoer “w” og “who” viser muligvis ikke brugere, der er logget ind fra pseudo-terminaler som Xfce-terminal eller MATE-terminal.

Kolonnen kaldte BRUGER viser brugernavn, skærmbilledet ovenfor viser, at den eneste bruger, der er logget på, er linuxhint, kolonnen TTY viser terminalen (tty7), den tredje kolonne FRA viser brugeradressen, i dette scenarie er der ikke fjernbrugere logget ind, men hvis de var logget ind, kunne du se IP-adresser der. Det [e-mail beskyttet] kolonne angiver det tidspunkt, hvor brugeren loggede ind, kolonnen JCPU opsummerer referat af processen udført i terminalen eller TTY. det PCPU viser CPU'en, der er brugt af processen, der er anført i den sidste kolonne HVAD.

Mens w svarer til udførelse oppetid, hvem og ps -a sammen et andet alternativ, til trods med mindre information er kommandoen “hvem”:

# hvem

Kommandoen sidst for at kontrollere loginaktiviteten:

En anden måde at overvåge brugernes aktivitet på er via kommandoen "sidste", som gør det muligt at læse filen wtmp som indeholder oplysninger om loginadgang, loginkilde, logintid med funktioner til forbedring af specifikke loginhændelser, for at prøve at køre det:

Kontrol af loginaktiviteten med kommandoen sidst:

Kommandoen læser sidst filen wtmp for at finde oplysninger om loginaktivitet kan du udskrive den ved at køre:

# sidste

Kontrol af din SELinux-status og aktiver den om nødvendigt:

SELinux er et begrænsningssystem, der forbedrer enhver Linux-sikkerhed, det kommer som standard på nogle Linux-distributioner, det forklares bredt her på linuxhint.

Du kan kontrollere din SELinux-status ved at køre:

# sestatus

Hvis du får en kommando, der ikke findes en fejl, kan du installere SELinux ved at køre:

# Apt install selinux-basics selinux-policy-default -y

Kør derefter:

# selinux-aktiver

Kontroller enhver brugeraktivitet ved hjælp af kommandoen historie:

Du kan til enhver tid kontrollere enhver brugeraktivitet (hvis du er root) ved at bruge kommandophistorikken, der er logget som den bruger, du vil overvåge:

# historie

Kommandohistorikken læser filen bash_history for hver bruger. Selvfølgelig kan denne fil forfalskes, og du som root kan læse denne fil direkte uden at påberåbe sig kommandohistorikken. Alligevel anbefales det, hvis du vil overvåge kørsel af aktiviteter.

Jeg håber, du fandt denne artikel om vigtige Linux-sikkerhedskommandoer nyttige. Fortsæt med at følge LinuxHint for flere tip og opdateringer om Linux og netværk.