本文用于记录在安全中的Linux常用命令,基础命令可以移步去菜鸟教程(https://www.runoob.com/linux/linux-tutorial.html)学习
Linux重要的4个热键
- Tab键用于命令补全
- Ctrl+C中断命令,强制中断程序的执行,进程已经终止
- Ctrl+Z中断命令,将任务中止(暂停的意思),但是此任务并没有结束,他仍然在进程中他只是维持挂起的状态,用户可以使用fg/bg操作继续前台或后台的任务
- Ctrl+D :表示一个特殊的二进制值,表示 EOF。在shell中,ctrl-d表示推出当前shell
Linux中的几个关键目录和文件
1、~/.bash_history //历史命令 2、/var/spool/cron/(crontabs) //对应不同用户计划任务 3、/proc/pid //对应进程的目录,进程对应目标再用ls -lh 可以看到对应进程的相关信息 4、/var/log //日志目录,auth.log是系统登录日志
权限管理相关的命令
chgrp命令改变文件的所属群组
如果需求仅仅是改变文件或目录的组信息,那么您可以直接使用chgrp命令。
语法如下:
chgrp [OPTION]... GROUP FILE...
比如可以输入
sudo root filename/dirname
chown命令改变文件拥有者
语法如下:
chown [OPTION]... [用户][:[用户组]] FILE...
OPTION:
-R : 处理指定目录以及其子目录下的所有文件。
比如可以输入:
sudo chown root Filename
chmod命令改变文件的权限
权限的设定方法有两种, 分别可以使用数字或者是符号来进行权限的变更。
语法如下:
chmod [OPTION]... MODE[,MODE]... FILE...
比如想要所有人都可以完全访问该文件:
chmod 777 filename
第1个7设置用户的权限,第2个7设置组的权限,第3个7设置其他所有者的权限。
比如用户想成为唯一可以访问它的人:
chmod 700 filename
比如用户想要为自己和其小组成员提供完全访问权限:
chmod 770 filename
比如用户想为自己保留完全访问权限,但希望阻止其他人修改文件:
chmod 755 filename
通过符号来改变权限:
比如想要修改所有者可以读取和写入文件,但不会更改其他任何人的权限的命令: chmod u=rw filename
查找相关的命令
- find
- where
- whereis
- grep
提权相关的命令
uname -r命令查看版本信息
查看发行版本
注意:该命令并不是所有linux中都有的。
lsb_release -a
crontab 设置定时任务
相关配置文件:
- /var/spool/cron/ 目录下存放的是每个用户包括root的crontab任务,每个任务以创建者的名字命名;
- /etc/crontab 这个文件负责调度各种管理和维护任务;
- /etc/cron.d/ 这个目录用来存放任何要执行的crontab文件或脚本;
- 我们还可以把脚本放在/etc/cron.hourly、/etc/cron.daily、/etc/cron.weekly、/etc/cron.monthly目录中,让它每小时/天/星期、月执行一次。
命令语法如下:
crontab [-u username] //省略用户表表示操作当前用户的crontab -e (编辑工作表) -l (列出工作表里的命令) -r (删除工作作)
crontab的命令构成为 时间+动作,其时间有分、时、日、月、周五种,操作符有
- * 取值范围内的所有数字
- / 每过多少个数字
- - 从X到Z
- ,散列数字
每1分钟执行一次myCommand:
* * * * * myCommand
每一小时重启smb:
* */1 * * * /etc/init.d/smb restart
每小时清空/var/log/messages日志内容:
0 */1 * * * True > /var/log/message
应急响应相关的命令
1、实时显示最新的日志文件,可以使用以下命令:
tail -f auth.log
//tail -f filename 会把 filename 文件里的最尾部的内容显示在屏幕上,并且不断刷新,只要 filename 更新就可以看到最新的文件内容
2、查看运行内存/CPU占用高的应用程序:
top -d 1 -c //-d:指定更新的间隔,以秒计算; //-c:显示进程完整的路径与名称;
交互的命令: <空格>:立刻刷新。 P:根据CPU使用大小进行排序。 T:根据时间、累计时间排序。 q:退出top命令。 m:切换显示内存信息。 t:切换显示进程和CPU状态信息。 c:切换显示命令名称和完整命令行。 M:根据使用内存大小进行排序。
3、查看所有进程信息:
ps aux //如过需要查找指定进程可以结合grep ps aux | grep xxx
4、查看端口信息:
//列出所有端口 netstat -anp //列出所有TCP端口 netstat -anpt
5、查看计划任务
//列出当前用户的所有计划任务 crontab -l
//想要查看某一个用户的所有计划任务,需要通过-u参数进行指定
crontab -u root -l
//编辑当前用户的计划任务
crontab -e
//也可以编辑指定用户的计划任务
crontab -u root -e
6、历史命令相关的命令
//查看当前用户的历史命令 history //清除前用户的历史命令 history -c //查看指定用户的历史命令,.bash_history对应的命令就是history cat [user]/.bash_history //配置保存历史命令的数量可以通过编辑/etc/profile,在profile配置文件中找到HISTSIZE选项,该配置选项用于配置历史操作命令条数。默认该值为1000,也就是记录最近的1000条命令,如果将此值置0则不记录历史操作命令。 vim /etc/profile
7、查看最后登录信息与历史用户登录信息
//查看最后登录信息
lastlog
//查看历史用户登录信息
last -f /var/log/wtmp
iptables命令
禁止某个ip访问:
iptables -I INPUT -s <ip> -j DROP
清理痕迹与混淆命令
1、通过touch命令的-t参数可以生成指定时间的文件:
touch -t 201911110000 <filename>
考点
1、超级用户和普通用户的登录提示符是不同的,超级用户是(#)、普通用户是($);
2、linux 长连接和短连接的区别;
长连接概念:长时间保持客户端与服务端的连接状态。默认超时时间8小时。
短连接概念:数据传输完毕立即断开,每次连接只完成一项业务的发送。
短连接是相对于长连接而言的概念,指的是在数据传送过程中,只在需要发送数据时,才去建立一个连接,数据发送完成后,则断开此连接,即每次连接只完成一项业务的发送。 在系统维护中,一般很难去察觉,需要借助网络安全设备或者抓包分析,才能够去发现。
常会出现在应急响应当中,想要查看网络连接中的短连接,需要多次使用netstat -anplt命令才可能会发现短连接;
3、Linux安全检查是常用的命令:
3.1、除root之外,是否还有其它特权用户(uid 为0):
awk -F: '$3==0{print $1}' /etc/passwd
3.2、可以远程登录的帐号信息:
awk '/$1|$6/{print $1}' /etc/shadow
3.3、统计登录日志(登录失败的次数):
grep -o "Failed password" /var/log/secure|uniq -c
3.4、查看登录失败的第一行和最后一行,确认时间范围:
grep "Failed password" /var/log/secure|head -1
grep "Failed password" /var/log/secure|tail -1
3.5、查看有哪些IP在爆破:
grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c | sort -nr
3.6、查看攻击者的用户名字典:
grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1
";}'|uniq -c|sort -nr
3.7、查询用户登录成功的情况(包含日期、用户名、IP):
grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'
3.8、统计一下登录成功的IP:
grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
杂项
mkdir命令建立新目录
mkdir [-mp] dirname 选项: -m :配置目录的权限; -p : 递归建目录
rmdir命令删除空目录
rmdir [-p] dirname 选项 -p 递归删除,如上一级也是空目录也会删除
ls命令显示档案与目录
ls [option] 目录名称
选项:
-a:全部的档案,连同隐藏档案(开头为.的隐藏档案)一起显示出来;
-A:全部的档案,连同隐藏档(不包括.与..这两个目录)
-d:仅列出目录,而不是目录下的档案数据;
-f:直接列出结果,不会排序(默认会以档名排序);
-F:根据档名、目录等信息,给予附加数据结构。例如:*表示可执行文件、/代码目录、=代表socket档案、|代表FIFO档案
-h:将档案容量以人类易度的方式程序出来;
-l:长数据串行出,包含档案的属性与权限等信息;
-n:列出UID与GID而非使用者与群组的名称;
-r:将排序结构倒序,如原档名排序是由小到大,倒叙则是由大到小;
-R:连通子目录内容一起列出来,等于该目录下的所有档案都会显示出来;
-S:以档案容量大小排序;
-t:以时间排序;
--full-time:以完整时间模式输出;
--time={atime,ctime}:输出access时间(atime)或者改变权限属性时间(ctime),而非内容改变的时间(mtime);
cp命令复制档案或目录
cp [option] oldsource newsource 选项: -a:完全复制(包括各种属性); -i:若目标文件已经存在时,在覆盖时会先询问; -p:连通档案的属性一起赋值过去,常用于备份; -r:递归持续赋复制目录
rm命令移除档案或目录
rm [-fir] 档案或目录 选项: -f:忽略不存在的档案,不会出现警告; -i:互动模式,删除前会先询问; -r:递归删除,常用于删除目录;
mv命令移动档案与目录或更名
mv [options] source destination 选项: -f:如果目标档案(destination)存在,不会询问直接覆盖; -i:若目标档案(destination)存在,询问是否覆盖; -u:若目标档案(destination)存在,且souce比较新,才会更新;
sync命令数据同步写入磁盘
Linux sync命令用于数据同步,sync命令是在关闭Linux系统时使用的。
sync
关机命令
shutdown、reboot、halt、poweroff命令。
立刻关机: shutdown -h now 定时关机(绝对时间): shutdown -h 18:00 定时关机(相对时间,相对于目前时间,单位是分): shutdown -h +10 立刻重启: shutdown -r now 重启前发送提示信息: shutdown -r +10 'This system will reboot'