В этой статьи показаны некоторые из самых основных команд Linux, ориентированных на безопасность.
Используя команду netstat для поиска открытых портов:
Одна из самых простых команд для мониторинга состояния вашего устройства – это netstat, который показывает открытые порты и установленные соединения.
Ниже приведен пример вывода netstat с дополнительными параметрами:
# netstat -anp
Где:
- -a: показывает состояние сокетов.
- -n: показывает IP-адреса вместо хот-спотов.
- -p: показывает программу, устанавливающую соединение.
В первом столбце показан протокол, вы можете видеть, что включены как TCP, так и UDP, на первом снимке экрана также показаны сокеты UNIX. Если вы подозреваете, что что-то не так, проверка портов, конечно, обязательна.
Установка основных правил с UFW:
LinuxHint опубликовал отличные руководства по UFW и Iptables, здесь мы сосредоточимся на брандмауэре с ограничительной политикой. Рекомендуется придерживаться ограничительной политики, запрещающей весь входящий трафик, если вы не хотите, чтобы он был разрешен.
Чтобы установить UFW, запустите:
# apt install ufw
Чтобы включить брандмауэр при запуске, выполните:
# sudo ufw enable
Затем примените ограничительную политику по умолчанию, запустив:
# sudo ufw default deny incoming
Вам нужно будет вручную открыть порты, которые вы хотите использовать, запустив:
# ufw allow <port>
Проверяем себя с помощью nmap:
Nmap – если не лучший, то один из лучших сканеров безопасности на рынке. Это основной инструмент, используемый системными администраторами для аудита своей сетевой безопасности. Если вы находитесь в DMZ, вы можете сканировать свой внешний IP-адрес, вы также можете сканировать свой маршрутизатор или локальный хост.
Как вы видите, выходные данные показывают, что мои порты 25 и 8084 открыты.
Nmap имеет множество возможностей, включая ОС, определение версий, сканирование уязвимостей и т. д.
Команда chkrootkit для проверки вашей системы на заражение chrootkit:
Руткиты, пожалуй, самая опасная угроза для компьютеров. Команда chkrootkit (проверить руткит) может помочь вам обнаружить известные руткиты.
Чтобы установить chkrootkit, запустите:
# apt install chkrootkit
Затем запустите:
# sudo chkrootkit
Чтобы быстро просмотреть запущенные ресурсы, вы можете использовать команду top при запуске терминала:
# top
Команда iftop для мониторинга вашего сетевого трафика:
Еще один отличный инструмент для отслеживания вашего трафика – iftop:
# sudo iftop <interface>
В нашем случае:
# sudo iftop wlp3s0
Команда lsof (список открытых файлов) для проверки ассоциации файлов <> с процессами:
Если вы подозреваете, что что-то не так, команда lsof может вывести список открытых процессов и программ, с которыми они связаны, при запуске консоли:
# lsof
Кто и w, чтобы узнать, кто вошел в ваше устройство:
Кроме того, чтобы знать, как защитить свою систему, необходимо знать, как реагировать, прежде чем вы начнете подозревать, что ваша система взломана. Одна из первых команд, выполняемых перед такой ситуацией, – это w или who, которая покажет, какие пользователи вошли в вашу систему и через какой терминал. Начнем с команды w:
# w
Примечание: команды «w» и «who» могут не отображать пользователей, вошедших в систему с псевдотерминалов, таких как терминал Xfce или терминал MATE.
В столбце под названием USER отображается имя пользователя, на снимке экрана выше показано, что единственный зарегистрированный пользователь – это andreyex, столбец TTY показывает терминал (tty7), третий столбец FROM отображает адрес пользователя, в этом сценарии удаленные пользователи не вошли в систему, но если они вошли в систему, вы могли видеть там IP-адреса. В системе столбец @ указывает время, в течение которого пользователь вошел в систему, столбец JCPU суммирует минут процесса, выполняемого в терминале или TTY. в PCPU отображает процессор, используемый в процессе, перечисленных в последнем столбце WHO.
В то время как w равно времени безотказной работы , who и ps -a вместе другая альтернатива, несмотря на меньшую информацию, – это команда «who»:
# who
Команда last для проверки активности входа:
Другой способ контролировать активность пользователей – использовать команду «last», которая позволяет прочитать файл wtmp, который содержит информацию о доступе для входа, источнике входа, времени входа в систему, с функциями для улучшения определенных событий входа в систему, чтобы попробовать его запустить:
Последняя проверка активности входа в систему :
Команда last читает файл wtmp, чтобы найти информацию об активности входа в систему, вы можете распечатать ее, запустив:
# last
Проверка вашего статуса SELinux и включение его при необходимости:
SELinux – это система ограничений, которая улучшает любую безопасность Linux, она входит по умолчанию в некоторые дистрибутивы Linux.
Вы можете проверить свой статус SELinux, запустив:
# sestatus
Если вы получили сообщение об ошибке «Команда не найдена», вы можете установить SELinux, запустив:
# apt install selinux-basics selinux-policy-default -y
Затем запустите:
# selinux-activate
Проверьте любую активность пользователя, используя историю команд:
В любое время вы можете проверить любую активность пользователя (если вы – root), используя историю команд, записанную как пользователь, за которым вы хотите наблюдать:
# history
История команд считывает файл bash_history каждого пользователя. Конечно, этот файл может быть фальсифицирован, и вы как root можете читать этот файл напрямую, не вызывая историю команд. Тем не менее, если вы хотите отслеживать активность, рекомендуется бегать.
Надеюсь, вы нашли эту статью о важнейших командах безопасности Linux полезной.