awk ‘/$1|$6/{print $1}’ /etc/shadow
除root帐号外,其他帐号是否存在sudo权限。如非管理需要,普通帐号应删除sudo权限:
more /etc/sudoers | grep -v “#|$” | grep “ALL=(ALL)”
禁用或删除多余及可疑的帐号
usermod -L user # 禁用帐号,帐号无法登录,/etc/shadow 第二栏为 ! 开头
userdel user # 删除 user 用户
userdel -r user # 将删除 user 用户,并且将 /home 目录下的 user 目录一并删除
通过.bash_history文件查看帐号执行过的系统命令:
打开 /home 各帐号目录下的 .bash_history,查看普通帐号执行的历史命令。
为历史的命令增加登录的 IP 地址、执行命令时间等信息:
1、保存1万条命令:
sed -i ‘s/^HISTSIZE=1000/HISTSIZE=10000/g’ /etc/profile
2、在/etc/profile的文件尾部添加如下行数配置信息:
USER_IP=who -u am i 2>/dev/null | awk '{print $NF}' | sed -e 's/[()]//g'
if [ “$USER_IP” = “” ]
then
USER_IP=hostname
fi
export HISTTIMEFORMAT="%F %T $USER_IP whoami
"
shopt -s histappend
export PROMPT_COMMAND=“history -a”
3、让配置生效
source /etc/profile
注意:历史操作命令的清除:history -c
该操作并不会清除保存在文件中的记录,因此需要手动删除.bash_profile文件中的记录
三、检查端口连接情况:
netstat -antlp | more
使用 ps 命令,分析进程,得到相应pid号:
ps aux | grep 6666
查看 pid 所对应的进程文件路径: