Linux应急响应之账号检查篇
账号检查是应急响应中必不可少的一环,通过账号检查,可以了解有没有异常账号以及是否留下后门。那么,究竟需要检查哪些文件呢?
1.用户信息文件/etc/passwd
文件内容分别是:用户名:密码:用户ID:组ID:用户说明:家目录:登陆之后shell
注意:无密码只允许本机登陆,远程不允许登陆
⑴查询特权用户:cat
/etc/passwd |awk -F: ‘$3==0{print $1}’
⑵查看账户中空登录口令账户:cat
/etc/shadow | awk –F: ‘length($2)==0 {print $1}’
⑶查看文件最近修改时间:
ls –l /etc/passwd
2. 影子文件 /etc/shadow
⑴查看具有远程登录权限的用户:cat /etc/shadow |egrep ‘$1|$6’|awk -F: ‘{print $1}’
⑵查看文件最近修改时间:
ls –l /etc/shadow
3.账户配置文件/etc/login.defs