1.账号安全
who 查看当前登录用户(tty本地登录pts远程登录)
w 查看系统信息,想知道某一时刻用户的行为
uptime 查看登录多久、多少用户,负载
1.查看用户信息文件/etc/passwd
root:x:0:0:root:/root:/bin:/bash
account:password:UID:GID:GECOS:directory:shell
用户名:密码:用户ID:组ID:用户说明:家目录:登录之后shell
无密码只允许本机登录,远程不允许登录2.查看影子文件/etc/shadow
root::$6$oGs1PqhL2p3ZetrE$X7o7bzoouHQVSEmSgsYN5UD4.kMHx6qgbTqwNVC5oOAouXvcjQSt.Ft7ql1WpkopY0UV9ajBwUt1DpYxTCVvI/:16809:0:99999:7:::
用户名:加密后的密码:密码最后一次修改日期:两次密码的修改时间间隔:密码有效期:密码修改到期的警告天数:密码过期之后的宽限天数:账号失效时间:保留
注意:/etc/passwd存储一般的用户信息,任何人都可以访问;/etc/shadow存储用户的密码信息,只有root用户可以访问。
2.检查历史命令
通过.bash_history查看账号执行过的系统命令
1.root的历史命令
2.打开/home各账号目录下的.bash_history,查看普通账号的历史命令历史操作命令的删除:history -C
但此命令并不会清除保存在文件中的记录,因此需要手动删除.bash_profile文件中的记录
3.检查异常端口
netstat -antlp|more
查看pid所对应的进程文件路径,
运行ls -l /proc/$PID/exe或file /proc/$PID/exe($PID为对应的pid号)
4.检查异常进程
ps aux | grep pid
5.检查开机启动项
开机启动配置文件
/etc/rc.local
/etc/rc.d/rc[0~6].d
6.检查定时任务
1.crontab
crontab -l 列出某个用户cron服务的详细内容
Tips:默认编写的crontab文件会保存在(/var/spool/cron/用户名 例如:/var/spool/cron/root)
crontab -r 删除每个用户cront任务(谨慎:删除所有的计划任务)
crontab -e 使用编辑器编辑当前的crontab文件
例如:*/1 * * * * echo "hello world" >> /tmp/test.txt 每分钟写入文件
2.利用anacron实现异步定时任务调度
主要查看以下:
/var/spool/cron/*
/var/spool/anacron/*
/etc/crontab
/etc/cron.d/*
/etc/cron.daily/*
/etc/cron.hourly/*
/etc/cron.monthly/*
/etc/cron.weekly/
/etc/anacrontab
7.检查服务
chkconfig --list命令,可以查看系统运行的服务
8.检查异常文件
9.检查系统日志
/var/log/