Списък на основните команди за сигурност на Linux

Този урок показва някои от най-основните команди на Linux, ориентирани към сигурността.

Използване на командата netstat за да намерите отворени портове:

Една от най-основните команди за наблюдение на състоянието на вашето устройство е netstat което показва отворените портове и установените връзки.

По-долу пример за netstat с допълнителни опции изход:

# netstat -anp

Където:
-а: показва състоянието на сокетите.
-н: показва IP адреси вместо hots.
-п: показва програмата за установяване на връзката.

Изходен екстракт по-добър вид:

Първата колона показва протокола, можете да видите, че са включени TCP и UDP, първата екранна снимка също показва UNIX гнезда. Ако подозирате, че нещо не е наред, проверката на портовете е разбира се задължителна.

Задаване на основни правила с UFW:

LinuxHint публикува страхотни уроци за UFW и Iptables, тук ще се спра на ограничителна защитна стена. Препоръчително е да запазите ограничителна политика, отказваща целия входящ трафик, освен ако не искате той да бъде разрешен.

За да инсталирате изпълнение на UFW:

# apt инсталирайте ufw

За да активирате защитната стена при стартиране:

# sudo ufw enable

След това приложете ограничителна политика по подразбиране, като изпълните:

# Sudo ufw по подразбиране отказва входящи

Ще трябва да отворите ръчно портовете, които искате да използвате, като стартирате:

# ufw позволи

Одитирайте се с nmap:

Nmap е, ако не и най-добрият, един от най-добрите скенери за сигурност на пазара. Това е основният инструмент, използван от sysadmins за одит на мрежовата им сигурност. Ако сте в DMZ, можете да сканирате външния си IP, можете също да сканирате рутера или локалния си хост.

Много просто сканиране срещу вашия localhost би било:

Както виждате изхода показва, че портът ми 25 и порт 8084 са отворени.

Nmap има много възможности, включително операционна система, откриване на версии, сканиране на уязвимости и т.н.
В LinuxHint публикувахме много уроци, фокусирани върху Nmap и различните му техники. Можете да ги намерите тук.

Командата chkrootkit за да проверите системата си за инфекции на chrootkit:

Руткитите са може би най-опасната заплаха за компютрите. Командата chkrootkit

(проверете руткита) може да ви помогне да откриете известни руткити.

За да инсталирате chkrootkit run:

# apt инсталирайте chkrootkit

След това изпълнете:

# sudo chkrootkit

Използване на командата Горна част за да проверите процесите, отнемащи повечето от вашите ресурси:

За да получите бърз преглед на работещите ресурси, можете да използвате командата top, при изпълнение на терминала:

# Горна част

Командата iftop за да наблюдавате мрежовия си трафик:

Друг чудесен инструмент за наблюдение на трафика ви е iftop,

# sudo iftop

В моя случай:

# sudo iftop wlp3s0

Командата lsof (списък с отворен файл) за проверка за асоцииране на файлове <> процеси:

Когато сте подозрителни, нещо не е наред, командата също може да ви изброи отворените процеси и с кои програми са свързани, на конзолата:

# lsf

Кой и какво да знаем кой е влязъл във вашето устройство:

Освен това, за да знаете как да защитите вашата система, е задължително да знаете как да реагирате, преди да сте подозрителни, че вашата система е хакната. Една от първите команди, които се изпълняват преди подобна ситуация, са w или Кой което ще покаже какви потребители са влезли във вашата система и през какъв терминал. Нека започнем с командата w:

# w

Забележка: командите „w“ и „who“ може да не показват потребители, регистрирани от псевдо терминали като терминал Xfce или терминал MATE.

Извикана колона ПОТРЕБИТЕЛ показва потребителско име, екранната снимка по-горе показва единствения регистриран потребител е linuxhint, колоната TTY показва терминала (tty7), третата колона ОТ показва потребителския адрес, в този сценарий няма влезли отдалечени потребители, но ако са влезли, можете да видите IP адреси там. The [имейл защитен] колона указва времето, през което потребителят е влязъл, колоната JCPU обобщава минутите от процеса, изпълнени в терминала или TTY. на PCPU показва процесора, използван от процеса, изброен в последната колона КАКВО.

Докато w е равно на изпълнение ъптайм, Кой и ps -a заедно друга алтернатива, въпреки че с по-малко информация е командата „Кой”:

# Кой

Командата последен за да проверите активността за влизане:

Другият начин за наблюдение на активността на потребителите е чрез командата „последно“, която позволява да се прочете файлът wtmp който съдържа информация за достъп за вход, източник за вход, време за влизане, с функции за подобряване на конкретни събития за вход, за да се опита да се изпълни:

Проверка на активността за влизане с командата последен:

Командата за последно чете файла wtmp за да намерите информация за активността при влизане, можете да я отпечатате, като изпълните:

# последен

Проверка на състоянието на SELinux и активиране при необходимост:

SELinux е ограничителна система, която подобрява всяка защита на Linux, идва по подразбиране при някои Linux дистрибуции, това е широко обяснено тук на linuxhint.

Можете да проверите състоянието си на SELinux, като стартирате:

# сестатус

Ако получите грешка в командата не е намерена, можете да инсталирате SELinux, като стартирате:

# Apt инсталирайте selinux-basics selinux-policy-default -y

След това изпълнете:

# selinux-activate

Проверете всяка активност на потребителя с помощта на командата история:

По всяко време можете да проверите всяка активност на потребителя (ако сте root), като използвате историята на командите, регистрирана като потребител, който искате да наблюдавате:

# история

Историята на командите чете файла bash_history на всеки потребител. Разбира се, този файл може да бъде подправен и вие като корен можете да прочетете този файл директно, без да извиквате историята на командите. И все пак, ако искате да наблюдавате активността се препоръчва.

Надявам се, че тази статия за основните команди за защита на Linux е полезна. Продължавайте да следвате LinuxHint за още съвети и актуализации за Linux и мрежи.