🔥 热搜 🔥
上海习近平新疆鄂州父女瓜乌鲁木齐疫情H工口小学生赛高习明泽芊川一笑图包印尼排华
分类
社会娱乐国际人权科技经济其它
🔥 热搜 🔥
上海习近平新疆鄂州父女瓜乌鲁木齐疫情H工口小学生赛高习明泽芊川一笑图包印尼排华
分类
社会娱乐国际人权科技经济其它
查看原文
其他

Linux应急响应之账号检查篇

安全运维派 2022-06-01

文章来源:dearcloud

版权声明:本文为CSDN博主「dearcloud」的原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接及本声明。https://blog.csdn.net/qq_42671480/java/article/details/90369909

Linux应急响应之账号检查篇


账号检查是应急响应中必不可少的一环,通过账号检查,可以了解有没有异常账号以及是否留下后门。那么,究竟需要检查哪些文件呢?


1.用户信息文件/etc/passwd


文件内容分别是:用户名:密码:用户ID:组ID:用户说明:家目录:登陆之后shell


注意:无密码只允许本机登陆,远程不允许登陆


⑴查询特权用户:cat

/etc/passwd |awk -F: ‘$3==0{print $1}’


⑵查看账户中空登录口令账户:cat

/etc/shadow | awk –F: ‘length($2)==0 {print $1}’


⑶查看文件最近修改时间:

ls –l /etc/passwd


2. 影子文件 /etc/shadow


⑴查看具有远程登录权限的用户:cat /etc/shadow |egrep ‘$1|$6’|awk -F: ‘{print $1}’


⑵查看文件最近修改时间:

ls –l /etc/shadow


3.账户配置文件/etc/login.defs


login.defs详细记录了所有用户的默认配置信息,比如默认加密方式、最大使用期限等等


4.sudo权限配置文件/etc/sudoers


格式:授权用户/组

主机=[(切换到哪些用户或组)] [是否需要输入密码验证] 命令1,命令2,…


注意:第三位和第四位可以省略,第三位若不省略,必须加上括号表示第三位。省略的结果是切换到root用户。


  第四位省略的结果是需要输入密码验证,若不需要输入密码,则再第四位输入NOPASSWD:


⑴.当用户执行

sudo 时,系统于 /etc/sudoers 档案中搜寻该使用者是否有执行

sudo 的权限;


⑵.若使用者具有可执行

sudo 的权限后,便让使用者输入用户自己的密码来确认;


⑶.若密码输入成功,便开始进行

sudo 后续接的指令(但 root 执行

sudo 时,不需要输入密码);


⑷.若欲切换的身份与执行者身份相同,那也不需要输入密码。


sudo 命令

-l:username的sudo权限

-u

username:以username的权限执行

-k:强迫用户下一次执行sudo时问密码(不论有无超过n分钟)

-b:后台执行

-p:修改提示符,%u,%h

-H:将HOME环境变量设为新身份的HOME环境变量

-s:执行指定的shell

-v:延长密码有效期限5分钟


查询拥有sudo权限的用户


cat /etc/sudoers |grep -v “^#”

|grep -v Defaults


5.SSH后门查询


SSH后门排查


1)比对ssh的版本


ssh -V


2)查看ssh配置文件和/usr/sbin/sshd的时间


stat /usr/sbin/sshd


3)strings检查/usr/sbin/sshd,看是否有邮箱信息


strings可以查看二进制文件中的字符串,在应急响应中是十分有用的。有些sshd后门会通过邮件发送登录信息,通过strings /usr/sbin/sshd可以查看到邮箱信息。


4)通过strace监控sshd进程读写文件的操作


一般的sshd后门都会将账户密码记录到文件,可以通过strace进程跟踪到ssh登录密码文件。


ps axu | grep sshd | grep -v grep

root 65530 0.0 0.1 48428 1260 ? Ss 13:43

0:00 /usr/sbin/sshd

strace -o aa -ff -p 65530

grep open aa* | grep -v -e No -e null -e

denied| grep WR

aa.102586:open("/tmp/ilog",

O_WRONLY|O_CREAT|O_APPEND, 0666) = 4


5)看公钥验证文件


查看是否允许密码验证cat /etc/ssh/sshd_config |grep -v ^# |grep --color PasswordAuthentication|awk

'{print $0}


查看是否允许密钥登录cat /etc/ssh/sshd_config |grep -v ^# |grep --color PubkeyAuthentication|awk

'{print $0}


公钥验证文件路径查询cat /etc/ssh/sshd_config |grep -v ^# |grep --color AuthorizedKeysFile|awk

'{print $2}







往期精选




*等保测评2.0:MySQL安全审计

*等保测评2.0:Windows访问控制

*等保测评2.0:MySQL身份鉴别(上)

                                                                                         

                                                                        


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存