linux系统安全检查

1、使用 last 命令查看下服务器近期登录的账户记录，确认是否有可疑IP登录过机器；

* 检查说明：攻击者或者恶意软件往往会往系统中注入隐藏的系统账户实施提权或其他破坏性的攻击
* 解决方法：检查发现有可疑用户时，可使用命令“usermod -L 用户名”禁用用户或者使用命令“userdel -r 用户名”删除用户。
* 风险性：高

2、通过 less /var/log/secure|grep ‘Accepted’ 命令，查看是否有可疑IP登录机器成功；

* 检查说明：攻击者或者恶意软件往往会往系统中注入隐藏的系统账户实施提权或其他破坏性的攻击
* 解决方法： 使用命令“usermod -L 用户名”禁用用户或者使用命令“userdel -r 用户名”删除用户。
* 风险性：高

3、检查系统是否采用默认管理端口

 *检查系统所用的管理端口（SSH、FTP、MySQL、Reids等）是否为默认端口，这些默认端口往往被容易自动化的工具进行爆破成功
*解决方法：
    1）、在服务器内编辑 /etc/ssh/sshd_config 文件中的 Port 22 将 22 修改为非默认端口，修改之后需要重启 ssh 服务；
    2）、运行 /etc/init.d/sshd restart 命令重启是配置生效；
    3）、修改FTP、MySQL、Reids等的程序配置文件的默认监听端口21、3306、6379为其他端口；
    4）、限制远程登录的IP，编辑/etc/hosts.deny 、/etc/hosts.allow 两个文件来限制IP
* 风险性：高

4、检查下 /etc/passwd 这个文件，看是否有非授权账户登录；

 * 检查说明：攻击者或者恶意软件往往会往系统中注入隐藏的系统账户实施提权或其他破坏性的攻击
* 解决方法： 使用命令“usermod -L 用户名”禁用用户或者使用命令“userdel -r 用户名”删除用户。
* 风险性：中

5、运行 netstat –antlp 查看下服务器是否有未被授权的端口被监听，查看下对应的pid。

 *检查服务器是否存在恶意进程,恶意进程往往会开启监听端口，与外部控制机器进行连接
*解决方法：
  1）若发先有非授权进程，运行ls -l /proc/$PID/exe或file /proc/$PID/exe ($PID为对应的pid号) ，查看下pid所对应的进程文件路径
  2）如果为恶意进程，删除下对应的文件即可。
*风险性：高

6、使用 ps -ef 和 top 命令查看是否有异常进程

 *检查说明：运行以上命令，当发现有名称不断变化的非授权进程占用大量系统CPU或内存资源时，则可能为恶意程序
*解决方法：确认该进程为恶意进程后，可以使用 “kill -9 进程名”命令结束进程，或使用防火墙限制进程外联
*风险性：高

7、使用 chkconfig --list 和 cat /etc/rc.local 命令查看下开机启动项中是否有异常的启动服务

 *检查说明：恶意程序往往会添加在系统的启动项，在用户关机重启后再次运行
*解决方法：如发现有恶意进程，可使用 “chkconfig 服务名 off” 命令关闭，同时检查 /etc/rc.local 中是否有异常项目，如有请注释掉。
*风险性：高

8、进入cron文件目录，查看是否存在非法定时任务脚本

 *检查说明：查看/etc/crontab，/etc/cron.d，/etc/cron.daily，cron.hourly/，cron.monthly，cron.weekly/是否存在可以脚本或程序
*解决方法：如发现有不认识的计划任务，可定位脚本确认是否正常业务脚本，如果非业务脚本呢，可直接注释掉任务内容或删除脚本。
*风险性：高

案例 ：

参考链接 ：
linux系统安全防护 ：https://blog.csdn.net/weixin_39202006/article/details/79145342
Linux系统安全 ： https://blog.csdn.net/weixin_42342456/article/details/85030332