Използване на командата netstat за да намерите отворени портове:
Една от най-основните команди за наблюдение на състоянието на вашето устройство е netstat което показва отворените портове и установените връзки.
По-долу пример за netstat с допълнителни опции изход:
# netstat -anp
Където:
-а: показва състоянието на сокетите.
-н: показва IP адреси вместо hots.
-п: показва програмата за установяване на връзката.
Изходен екстракт по-добър вид:
Първата колона показва протокола, можете да видите, че са включени TCP и UDP, първата екранна снимка също показва UNIX гнезда. Ако подозирате, че нещо не е наред, проверката на портовете е разбира се задължителна.
Задаване на основни правила с UFW:
LinuxHint публикува страхотни уроци за UFW и Iptables, тук ще се спра на ограничителна защитна стена. Препоръчително е да запазите ограничителна политика, отказваща целия входящ трафик, освен ако не искате той да бъде разрешен.
За да инсталирате изпълнение на UFW:
# apt инсталирайте ufw
За да активирате защитната стена при стартиране:
# sudo ufw enable
След това приложете ограничителна политика по подразбиране, като изпълните:
# Sudo ufw по подразбиране отказва входящи
Ще трябва да отворите ръчно портовете, които искате да използвате, като стартирате:
# ufw позволиОдитирайте се с nmap:
Nmap е, ако не и най-добрият, един от най-добрите скенери за сигурност на пазара. Това е основният инструмент, използван от sysadmins за одит на мрежовата им сигурност. Ако сте в DMZ, можете да сканирате външния си IP, можете също да сканирате рутера или локалния си хост.
Много просто сканиране срещу вашия localhost би било:
Както виждате изхода показва, че портът ми 25 и порт 8084 са отворени.
Nmap има много възможности, включително операционна система, откриване на версии, сканиране на уязвимости и т.н.
В LinuxHint публикувахме много уроци, фокусирани върху Nmap и различните му техники. Можете да ги намерите тук.
Командата chkrootkit за да проверите системата си за инфекции на chrootkit:
Руткитите са може би най-опасната заплаха за компютрите. Командата chkrootkit
(проверете руткита) може да ви помогне да откриете известни руткити.
За да инсталирате chkrootkit run:
# apt инсталирайте chkrootkit
След това изпълнете:
# sudo chkrootkitИзползване на командата Горна част за да проверите процесите, отнемащи повечето от вашите ресурси:
За да получите бърз преглед на работещите ресурси, можете да използвате командата top, при изпълнение на терминала:
# Горна част
Командата iftop за да наблюдавате мрежовия си трафик:
Друг чудесен инструмент за наблюдение на трафика ви е iftop,
# sudo iftopВ моя случай:
# sudo iftop wlp3s0
Командата lsof (списък с отворен файл) за проверка за асоцииране на файлове <> процеси:
Когато сте подозрителни, нещо не е наред, командата също може да ви изброи отворените процеси и с кои програми са свързани, на конзолата:
# lsf
Кой и какво да знаем кой е влязъл във вашето устройство:
Освен това, за да знаете как да защитите вашата система, е задължително да знаете как да реагирате, преди да сте подозрителни, че вашата система е хакната. Една от първите команди, които се изпълняват преди подобна ситуация, са w или Кой което ще покаже какви потребители са влезли във вашата система и през какъв терминал. Нека започнем с командата w:
# w
Забележка: командите „w“ и „who“ може да не показват потребители, регистрирани от псевдо терминали като терминал Xfce или терминал MATE.
Извикана колона ПОТРЕБИТЕЛ показва потребителско име, екранната снимка по-горе показва единствения регистриран потребител е linuxhint, колоната TTY показва терминала (tty7), третата колона ОТ показва потребителския адрес, в този сценарий няма влезли отдалечени потребители, но ако са влезли, можете да видите IP адреси там. The [имейл защитен] колона указва времето, през което потребителят е влязъл, колоната JCPU обобщава минутите от процеса, изпълнени в терминала или TTY. на PCPU показва процесора, използван от процеса, изброен в последната колона КАКВО.
Докато w е равно на изпълнение ъптайм, Кой и ps -a заедно друга алтернатива, въпреки че с по-малко информация е командата „Кой”:
# Кой
Командата последен за да проверите активността за влизане:
Другият начин за наблюдение на активността на потребителите е чрез командата „последно“, която позволява да се прочете файлът wtmp който съдържа информация за достъп за вход, източник за вход, време за влизане, с функции за подобряване на конкретни събития за вход, за да се опита да се изпълни:
Проверка на активността за влизане с командата последен:
Командата за последно чете файла wtmp за да намерите информация за активността при влизане, можете да я отпечатате, като изпълните:
# последен
Проверка на състоянието на SELinux и активиране при необходимост:
SELinux е ограничителна система, която подобрява всяка защита на Linux, идва по подразбиране при някои Linux дистрибуции, това е широко обяснено тук на linuxhint.
Можете да проверите състоянието си на SELinux, като стартирате:
# сестатусАко получите грешка в командата не е намерена, можете да инсталирате SELinux, като стартирате:
# Apt инсталирайте selinux-basics selinux-policy-default -y
След това изпълнете:
# selinux-activateПроверете всяка активност на потребителя с помощта на командата история:
По всяко време можете да проверите всяка активност на потребителя (ако сте root), като използвате историята на командите, регистрирана като потребител, който искате да наблюдавате:
# история
Историята на командите чете файла bash_history на всеки потребител. Разбира се, този файл може да бъде подправен и вие като корен можете да прочетете този файл директно, без да извиквате историята на командите. И все пак, ако искате да наблюдавате активността се препоръчва.
Надявам се, че тази статия за основните команди за защита на Linux е полезна. Продължавайте да следвате LinuxHint за още съвети и актуализации за Linux и мрежи.