用户帐户

调查用户活动,权限和异常活动的命令。

  •  cat /etc/passwd - 列出用户帐户.
  •  passwd -S [User_Name] - 检查用户的密码状态.
  •  lastlog - 显示最新登录.
  •  last - 显示最后登录的用户.
  •  who - 显示谁登录.
  •  w -展示谁登录以及他们在做什么.

日志

用于审查系统和应用程序日志的命令。

  •  cat /var/log/messages - 显示系统消息.
  •  cat /var/log/auth.log - 显示用户身份验证日志.
  •  cat /var/log/secure - 显示基于redhat系统的身份验证日志.
  •  cat /var/log/boot.log - 显示系统引导日志.
  •  cat /var/log/dmesg - 显示内核环缓冲区日志.
  •  cat /var/log/kern.log - 显示内核日志.

系统资源

命令检查系统性能和资源使用情况.

  •  top - 显示Linux任务.
  •  htop - 交互式过程查看器.
  •  uptime - 显示系统正常运行时间.
  •  ps aux - 显示当前正在运行的过程.
  •  pstree - 将运行过程显示为树状.
  •  free -m - 在MB中显示内存使用量.

进程

调查运行过程的命令。

  •  ps -ef - 在系统上显示所有当前运行的过程.
  •  pstree -p - 以PID的形式显示以树状格式的进程.
  •  top -n 1 - 显示顶级进程。
  •  ps -eo pid,tt,user,fname,rsz - 以自定义格式展示过程.
  •  lsof -i - 列出与网络连接关联的打开文件.

服务

命令检查系统上运行的服务.

  •  chkconfig --list - 列出所有服务及其当前州.
  •  service --status-all - 显示所有服务的状态.
  •  systemctl list-units --type=service - 列出运行服务(SystemD).
  • docker ps -aq | xargs -I {} docker inspect --format '{{.Id}}: {{.HostConfig.Privileged}}' {} 查看是否有Docker容器以特权模式运行

文件

命令进行文件调查。

  •  ls -alh - 以可读格式显示所有文件。
  •  find / -name [filename] - 查找特定文件。
  •  find / -mtime -[N] - 查找最近N天修改的文件。
  •  find / -atime -[N] - 查找最近N天访问的文件。
  •  find / -size +[N]c - 查找大于n字节的文件。
  • find / -type f -newermt "2024-03-11 05:00:00" ! -newermt "2024-03-11 07:00:00"

网络设置

用于查看网络配置和连接的命令。

  •  ifconfig -a - 显示所有网络接口。
  •  netstat -antup - 显示主动网络连接。
  •  iptables -L -n -v - 显示所有iptables规则。
  •  route -n - 显示路由表。
  •  ss -tuln - 显示听力端口并建立的连接。

附加命令

  •  grep :0: /etc/passwd - 查找根帐户.
  •  find / -nouser -print - 在没有用户的情况下查找文件.
  •  cat /etc/shadow - 查看加密密码和帐户到期信息.
  •  cat /etc/group - 查看组信息。
  •  cat /etc/sudoers - 查看sudoers文件。
  •  tail /var/log/auth.log - 查看身份验证日志中的最后几个条目。
  •  history | less - 查看命令历史记录。
  •  cat /proc/meminfo - 显示内存信息。
  •  cat /proc/mounts - 显示安装的文件系统。
  •  lsof -p [pid] - 列出一个进程的打开文件(使用特定的PID)。
  •  service --status-all - 列出所有服务及其状态。
  •  cat /etc/crontab - 查看计划任务的CRON表。
  •  more /etc/resolv.conf - 查看DNS设置.
  •  more /etc/hosts - 查看主机文件条目.
  •  iptables -L -n - 列出所有IPTABLES规则,而无需解决IP地址。
  •  find /home/ -type f -size +512k -exec ls -lh {} \; - 在主目录中查找大于512KB的文件。
  •  find /etc/ -readable -type f 2>/dev/null - 在ETC目录中查找可读的文件。
  •  find / -mtime -2 -ls - 查找最近两天修改的文件。
  •  netstat -nap - 显示网络连接和关联的程序。
  •  arp -a - 查看ARP表。
  •  echo $PATH - 显示路径环境变量。

运行脚本

要运行事件响应Linux脚本,请按照以下步骤:

  1. 从存库下载脚本.
    2. 给出脚本可执行的权限:chmod +x IRLinux_Script.sh
  2. 使用适当的权限执行脚本(某些命令可能需要根本权限):sudo ./IRLinux_Script.sh
  3. 脚本完成执行后,输出将保存在 /tmp/IRLinux.txt.
  4. 您可以使用文本编辑器查看输出或使用命令 cat or less:less /tmp/IRLinux.txt
Note: 确保脚本在访问系统文件和配置时在安全环境中运行。根据需要修改脚本的特定用例。
最后修改:2024 年 11 月 06 日
© 允许规范转载
如果觉得我的文章对你有用,请随意赞赏