Lista de comandos essenciais de segurança do Linux

Usando o comando netstat Para encontrar portas abertas:

Um dos comandos mais básicos para monitorar o estado do seu dispositivo é netstat que mostra as portas abertas e conexões estabelecidas.

Abaixo de um exemplo do netstat Com opções adicionais Saída:

# netstat -anp

Onde:
-a: mostra o estado para soquetes.
-n: mostra endereços IP em vez de hots.
-P: mostra o programa que estabelece a conexão.

Um extrato de saída melhor aparência:

A primeira coluna mostra o protocolo, você pode ver TCP e UDP estão incluídos, a primeira captura de tela também mostra soquetes Unix. Se você suspeita de que algo está errado, verificar portas é obviamente obrigatório.

Definindo regras básicas com Ufw:

Linuxhint publicou ótimos tutoriais sobre UFW e iptables, aqui vou me concentrar em um firewall de política restritiva. Recomenda -se manter uma política restritiva negando todo o tráfego de entrada, a menos que você queira que seja permitido.

Para instalar o UFW Run:

# apt install ufw

Para ativar o firewall no Startup Run:

# sudo ufw habilitar

Em seguida, aplique uma política restritiva padrão executando:

# sudo ufw padrão negar

Você precisará abrir manualmente as portas que deseja usar executando:

# ufw permitir

Auditando -se NMAP:

NMAP é, se não o melhor, um dos melhores scanners de segurança do mercado. É a principal ferramenta usada pelos sysadmins para auditar sua segurança de rede. Se você estiver em um DMZ, pode digitalizar seu IP externo, também pode digitalizar seu roteador ou seu host local.

Uma varredura muito simples contra a sua localhost seria:

Como você vê, a saída mostra que minha porta 25 e a porta 8084 estão abertas.

O NMAP tem muitas possibilidades, incluindo SO, detecção de versão, varreduras de vulnerabilidades, etc.
No Linuxhint, publicamos muitos tutoriais focados no NMAP e suas diferentes técnicas. Você pode encontra-los aqui.

O comando Chkrootkit Para verificar seu sistema para infecções por Chrootkit:

Rootkits são provavelmente a ameaça mais perigosa para os computadores. O comando chkrootkit

(Verifique o rootkit) pode ajudá -lo a detectar rootkits conhecidos.

Para instalar o Chkrootkit Run:

# APT Install Chkrootkit

Então corra:

# sudo chkrootkit

Usando o comando principal Para verificar os processos que levam a maioria dos seus recursos:

Para obter uma visualização rápida sobre os recursos em execução, você pode usar o topo do comando, na execução do terminal:

# principal

O comando iftop Para monitorar o tráfego da sua rede:

Outra ótima ferramenta para monitorar seu tráfego é o iftop,

# sudo iftop

No meu caso:

# sudo iftop wlp3s0

O comando lsof (listar arquivo aberto) para verificar a associação de processos de arquivos:

Ao suspeitar, algo está errado, o comando LSOF Pode listar os processos abertos e para quais programas eles estão associados, na execução do console:

# LSOF

O quem e W para saber quem está conectado ao seu dispositivo:

Além disso, para saber como defender seu sistema, é obrigatório saber como reagir antes de suspeitar que seu sistema foi hackeado. Um dos primeiros comandos a serem executados antes que essa situação seja c ou Quem que mostrará o que os usuários estão conectados ao seu sistema e através de qual terminal. Vamos começar com o comando c:

# c

Observação: comandos “w” e “quem” não pode mostrar os usuários registrados em terminais pseudo.

A coluna chamada DO UTILIZADOR exibe o nome de usuário, A captura de tela acima mostra que o único usuário registrado é Linuxhint, a coluna Tty mostra o terminal (tty7), a terceira coluna DE Exibe o endereço do usuário, nesse cenário, não há usuários remotos conectados, mas se eles estivessem conectados, você poderá ver endereços IP lá. O CONECTE-SE@ coluna especifica o tempo em que o usuário entrou em frente, a coluna JCPU resume a ata do processo executado no terminal ou no TTY. o PCPU Exibe a CPU usada pelo processo listado na última coluna O QUE.

Enquanto c é igual à execução tempo de atividade, Quem e ps -a Juntos, outra alternativa, apesar de menos informações é o comando “Quem”:

# Quem

O comando durar Para verificar a atividade de login:

Outra maneira de supervisionar a atividade dos usuários é através do comando "último", que permite ler o arquivo WTMP que contém informações sobre acesso ao login, fonte de login, tempo de login, com recursos para melhorar os eventos de login específicos, para experimentá -lo

Verificando a atividade de login com o comando durar:

O comando último lê o arquivo WTMP Para encontrar informações sobre a atividade de login, você pode imprimi -las executando:

# durar

Verificando seu status do Selinux e habilitá -lo, se necessário:

O Selinux é o sistema de restrição que melhora qualquer segurança do Linux, vem por padrão em algumas distribuições do Linux, é amplamente explicado aqui no Linuxhint.

Você pode verificar seu status de Selinux em execução:

# sestatus

Se você receber um comando não encontrado erro, poderá instalar o Selinux em execução:

# APT Instale Selinux-Basics Selinux-Policy-Default -y

Então corra:

# Selinux-Activate

Verifique qualquer atividade do usuário usando o comando história:

A qualquer momento, você pode verificar qualquer atividade do usuário (se for root) usando o histórico de comando registrado como o usuário que deseja monitorar:

# história

O histórico de comando lê o arquivo Bash_history de cada usuário. Obviamente, esse arquivo pode ser adulterado e você como root pode ler este arquivo diretamente sem invocar o histórico de comando. No entanto, se você quiser monitorar a execução da atividade, é recomendado.

Espero que você tenha encontrado este artigo sobre comandos essenciais de segurança do Linux. Continue seguindo o Linuxhint para obter mais dicas e atualizações no Linux e na rede.