1.账号安全

who        查看当前登录用户（tty本地登录pts远程登录）
w          查看系统信息，想知道某一时刻用户的行为
uptime     查看登录多久、多少用户，负载

1.查看用户信息文件/etc/passwd
root:x:0:0:root:/root:/bin:/bash
account:password:UID:GID:GECOS:directory:shell
用户名：密码：用户ID：组ID：用户说明：家目录：登录之后shell
无密码只允许本机登录，远程不允许登录2.查看影子文件/etc/shadow
root::$6$oGs1PqhL2p3ZetrE$X7o7bzoouHQVSEmSgsYN5UD4.kMHx6qgbTqwNVC5oOAouXvcjQSt.Ft7ql1WpkopY0UV9ajBwUt1DpYxTCVvI/:16809:0:99999:7:::
用户名：加密后的密码：密码最后一次修改日期：两次密码的修改时间间隔：密码有效期：密码修改到期的警告天数：密码过期之后的宽限天数：账号失效时间：保留

注意：/etc/passwd存储一般的用户信息，任何人都可以访问；/etc/shadow存储用户的密码信息，只有root用户可以访问。

2.检查历史命令

通过.bash_history查看账号执行过的系统命令
1.root的历史命令
2.打开/home各账号目录下的.bash_history,查看普通账号的历史命令历史操作命令的删除：history -C
但此命令并不会清除保存在文件中的记录，因此需要手动删除.bash_profile文件中的记录

3.检查异常端口

netstat -antlp|more
查看pid所对应的进程文件路径，
运行ls -l /proc/$PID/exe或file /proc/$PID/exe($PID为对应的pid号)

4.检查异常进程

ps aux | grep pid

5.检查开机启动项

   开机启动配置文件

/etc/rc.local
/etc/rc.d/rc[0~6].d

6.检查定时任务

1.crontab
crontab -l    列出某个用户cron服务的详细内容
Tips:默认编写的crontab文件会保存在（/var/spool/cron/用户名 例如:/var/spool/cron/root）
crontab -r    删除每个用户cront任务（谨慎：删除所有的计划任务）
crontab -e    使用编辑器编辑当前的crontab文件
例如：*/1 * * * * echo "hello world" >> /tmp/test.txt 每分钟写入文件
2.利用anacron实现异步定时任务调度

  主要查看以下：

/var/spool/cron/*
/var/spool/anacron/*
/etc/crontab
/etc/cron.d/*
/etc/cron.daily/*
/etc/cron.hourly/*
/etc/cron.monthly/*
/etc/cron.weekly/
/etc/anacrontab

7.检查服务

        chkconfig --list命令，可以查看系统运行的服务

8.检查异常文件

9.检查系统日志

/var/log/