Linux应急响应基础——入侵排查

账号安全：

1、用户信息文件 /etc/passwd

1. # 格式：account:password:UID:GID:GECOS:directory:shell  
2. # 用户名：密码：用户ID：组ID：用户说明：家目录：登陆之后的 shell  
3. root:x:0:0:root:/root:/bin/bash 

1. # 查看可登录用户：  
2. cat /etc/passwd | grep /bin/bash  
3. # 查看UID=0的用户  
4. awk -F: '$3==0{print $1}' /etc/passwd  
5. # 查看sudo权限的用户  
6. more /etc/sudoers | grep -v "^#|^$" | grep "ALL=(ALL)" 

注意：无密码只允许本机登陆，远程不允许登陆

2、影子文件：/etc/shadow

1. # 用户名：加密密码：密码最后一次修改日期：两次密码的修改时间间隔：密码有效期：密码修改到期到的警告天数：密码过期之后的宽限天数：账号失效时间：保留  
2. root:$6$oGs1PqhL2p3ZetrE$X7o7bzoouHQVSEmSgsYN5UD4.kMHx6qgbTqwNVC5oOAouXvcjQSt.Ft7ql1WpkopY0UV9ajBwUt1DpYxTCVvI/:16809:0:99999:7::: 

3、查看当前登录用户及登录时长

1. who     # 查看当前登录系统的所有用户（tty 本地登陆  pts 远程登录）  
2. w       # 显示已经登录系统的所用用户，以及正在执行的指令  
3. uptime  # 查看登陆多久、多少用户，负载状态 

（编辑：开发网_开封站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!