windows
前置工作
检查系统版本,进行更新
账号安全设置
保护账号安全
系统账号策略
防火墙
防火墙设置:确保启用windows自带防火墙
防火墙高级配置
共享安全风险
关闭管理共享
关闭不需要的服务
减小攻击面
事件查看器
eventvwr
常见日志审计中事件ID 代表的含义
服务
win+r services.msc 查看系统服务
工具(PChunter)
网络连接
netstat -ano
Linux
运行级别(runlevel)
Linux系统有七个运行级别(0到6),每个级别都有不同的含义。以下是它们的简要说明:
0 - 关机:系统关闭,不执行任何进程。 1 - 单用户模式:只有基本的系统服务运行,用于维护和修复系统。 2 - 多用户模式:没有网络支持,但所有其他服务都在运行。 3 - 多用户模式:完全多用户模式,包括网络支持。 4 - 保留级别:未分配特定功能,可以根据需要进行自定义。 5 - 图形界面模式:带有图形界面和登录管理器。 6 - 重启:系统重启。
启动项和计划任务
cat /etc/rc.local
添加系统启动项
crontab -e 添加计划任务
crontab -l 查看计划任务
服务查看
netstat -antp
查看外连ip,可疑ip去威胁情报平台查询(微步)
进程
ps -aux 查看系统全部进程
top 查看cpu和内存的使用情况
top -i 排序
kill -9 +PID 结束进程
日志审计
历史命令日志
history //查看历史命令 history -c //清除历史命令 ~/.bash_history //历史命令存放位置
用户登录日志
/var/log/lastlog 记录每个用户最后登录的信息
/var/log/wtmp 记录每个用户的登录、注销以及系统的启动和宕机事件 需要使用last命令查看
/var/run/utmp 记录当前登录的每个用户的信息 需要使用last命令查看
/var/log/btmp 记录所有登录失败的信息 可以使用lastb命令查看
登录认证日志
CentOS redhat /var/log/secure Debain Ubuntu /var/log/auth.log
检查cron日志
cat /var/log/cron
其他常用命令
w
w 命令,查看当前登录的用户