攻防演练,作为蓝方,centos的操作系统,怎么查看是不是有隐藏用户,有没有获取权限

最新推荐文章于 2024-04-18 17:58:16 发布
最新推荐文章于 2024-04-18 17:58:16 发布
阅读量642 收藏 9
点赞数 9
文章标签: centos linux 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sunyuhua_keyboard/article/details/137865466
版权

在攻防演练中,作为蓝方(防守方),检查 CentOS 操作系统中是否存在隐藏的用户以及是否有未授权的权限获取是非常重要的。以下是一些检查步骤和工具的使用方法,这些可以帮助你确保系统的安全和完整性。

1. 检查系统用户

查看 /etc/passwd 文件

这个文件包含了系统上所有用户的列表。你可以通过以下命令查看:

cat /etc/passwd

这将列出所有用户和它们的信息,包括登录名、用户ID(UID)、组ID(GID)、家目录以及默认的shell。

检查没有登录shell的用户

有些隐藏用户可能没有分配有效的shell,这些通常是系统或服务账户,但也可能是潜在的隐藏用户:

awk -F: '$7 == "/sbin/nologin" {print $1}' /etc/passwd

或者检查 /usr/sbin/nologin/bin/false

awk -F: '($7 == "/sbin/nologin" || $7 == "/bin/false") {print $1}' /etc/passwd

2. 检查用户登录记录

查看当前登录的用户

使用 whow 命令查看当前登录到系统的用户:

who

或者

w

查看最近登录的用户

使用 last 命令可以查看系统最近用户登录的记录:

last

3. 查看系统进程和活动

检查当前运行的进程

使用 ps 命令检查所有运行的进程,并搜索非标准路径或者未知的执行文件:

ps aux

4. 检查特权获取和提升

查看有 root 权限的进程

ps aux | grep '^root'

检查 sudo 权限的历史记录

cat /var/log/secure | grep sudo

5. 检查启动项和服务

未授权的服务或者脚本可能被配置为启动时执行:

systemctl list-unit-files --type=service

检查 /etc/rc.local 和 Cron 任务:

crontab -l
cat /etc/crontab

6. 检查网络活动

查看当前网络连接

使用 netstatss 查看活动的网络连接:

netstat -tulnp

或者

ss -tulnp

7. 使用安全工具

可以使用如 Lynis 或 chkrootkit 这样的安全审计工具进行全面检查:

# Lynis
lynis audit system

# chkrootkit
chkrootkit

通过上述步骤,你可以在一定程度上发现潜在的隐藏用户和未授权的权限获取行为。确保定期进行这些检查,以维护系统的安全性。

MonkeyKing.sun
关注
Centos7 查看、增加、删除用户组与用户
专注基础架构领域
05-31 4767
查看用户: $ cut -d : -f 1 /etc/passwd 查看用户组: $ cut -d : -f 1 /etc/group 添加用户组: $ groupadd zzx 删除用户组: $ groupdel zzx 添加用户(-g后面是用户组 最后的是用户名 -d后面是指定用户目录): $ useradd -g zzxGr...
攻防演练蓝方值守阶段经验技巧
HBohan的博客
09-16 1687
随着国家对网络安全的建设不断加强,各地组织的攻防演练行动会越来越多。今天来分享蓝方在正式防护阶段时,需要重点加强防护过程中的安全保障工作,从攻击监测、攻击分析、攻击阻断、漏洞修复和追踪溯源等方面全面加强演习过程的安全防护效果。 【网安学习攻略】 全面监控 安全事件实时监测 借助安全设备(全流量分析设备、Web防火墙、IDS、 IPS、 数据库审计等)开展安全事件实时监测,对发现的攻击行为进行确认,详细记录攻击相关数据,为后续处置工作开展提供信息。 综合研判 安全事件综合研判 确认方式:攻击方式确认、攻击路
Linux安全问题,如何查看哪个用户是可疑用户?如何批量删除这些用户
weixin_70208651的博客
01-20 1632
Linux系统被人入侵时,攻击者很可能会尝试新建账户来保持对系统的持久访问。通过创建新的用户账户,攻击者可以更容易地隐藏他们的活动,并在将来重新获得访问权限,即使他们的初步入侵行为被检测到并进行了某些清理工作。我们可以采用一些linux命令,比如/etc/passwd, cat, getent, uerdel, awk等命令来处理。
判断用户是否存在
05-09 1011
 ///         /// 判断是否存在登录名为loginName的用户        ///         /// 用户登录名        /// 如果存在,返回true;否则,返回false        //        public static bool HasUser(string loginName)        {            Database db = n
Linux Centos中的默认权限隐藏权限(文件、文件夹)
kwame211的博客
02-20 2568
一个文件(或文件夹)拥有若干个属性。包含(r/w/x)等基本属性,以及是否为文件夹(d)与文件(-)或连接文件(l)等属性。此外,Linux还能够设置其它系统安全属性。使用chattr来设置。以lsattr来查看。最重要的是能够设置其不可改动的特性,即便是文件的拥有者都不能进行改动。 这个属性相当重要。尤其是在安全机制方面(security)。 新增规则 setfacl -m u:admin:x xt drwxr-xr-x+ 5 root root ...
centos 账户和权限管理
qq_59726553的博客
02-29 2078
centos 账户管理,用户创建、删除、修改,用户组创建、修改、添加成员,文件权限的修改。
2021护网日记(第二天)-攻防演练红、蓝方职责、linux 和 Windows 如何应急
渗透、攻防、CTF、编程
04-14 8566
来源:微信公众号Hacking黑白红 4月8日,阳光明媚,春风拂面 HW第一天,奋战(划水)12小时,处置7个预警,钉钉、微信一共建了12个群,开了6场腾讯会议,微信好友新增31人,最终6个为误报,还有1个疑似漏报。 这些都不重要,都不如“韩毅”的瓜来的凛冽。 事情经过是这样的,“韩毅”第一次出现在我的微信群是在4月6日(星期二),那天我正在去HW城市的路上,印象深刻。微信记录如下: “韩毅”同学4月6日(周二)15点,第一次出现在我的微信群,向红队发出...
攻防演练过程中防守方必备的关键安全设备
maoguan121的博客
09-29 2240
部署安全设备及系统是防守工作的必要条件之一,以下通过边界 防御设备、安全检测设备、流量监控设备、终端防护设备、威胁情报 系统这五方面帮助读者了解、熟悉红队常用的关键安全设备。
大型红蓝攻防实战系列全景图.pptx
03-29
【红蓝攻防全景推演】是网络安全领域中一种模拟真实攻击与防御的演练方式,旨在提高组织的网络安全防御能力。这种推演涵盖了攻击面和暴露面的识别、边界突破与防护、横向渗透与区域控制、攻陷与强控等多个阶段,通过...
蓝方的进攻——进攻是最好的防守.pdf
08-08
在信息产业信息安全测评中心发布的文档中,标题“蓝方的进攻——进攻是最好的防守”揭示了现代网络安全攻防对抗的策略和实践。从文件中的描述和部分内容来看,这份文档主要围绕红蓝对抗、网络安全的攻防形式、...
linux添加用户隐藏权限
weixin_30621711的博客
06-27 958
1、添加用户报错提示: [root@server-2 etc]# useradd guset useradd: cannot open /etc/group 2、查看 /etc/group文件权限正常 3、查看下面四个文件是否有隐藏权限 [root@localhost~]#lsattr/etc/passwd -------------/etc/passwd [root...
linux添加隐藏账户,Linux——CentOS7添加/删除用户用户
weixin_39815286的博客
05-08 1251
Linux——CentOS7添加/删除用户用户组2017年11月23日 11:17:56ataoajuan阅读数:6932版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/ataoajuan/article/details/78612465前言今天又重新装了centos7突然有关用户用户组有关的命令记不清了,所以记一下,也方便你我学习。———...
CentOS7基础命令第三章用户权限
最新发布
YSK981021的博客
04-18 351
chmod空格u+s空格/usr/bin/cat为cat添加suid超级权限chmod u+s /usr/bin/cat。chmod空格u-s空格/usr/bin/cat为cat取消临时的suid权限chmod u-s /usr/bin/cat。chmod空格a=-空格文件名所有人都没有读写执行的权限chmod a=- yu.txt。ls空格-l-d空格/tmp/查看目录本身的文件信息ls -l-d /tmp/ll空格/tmp/目录/-d查看目录的权限:ll /tmp/ysk/-d。
攻防演练作为蓝方,怎么知道服务器已经有隐藏用户
keyboard专栏
04-17 1219
Linux 系统中,查找所有用户帐户通常意味着查看系统用来存储用户信息的文件。最主要的文件是,它包含了系统上所有用户的列表。下面是一些基本方法和命令,帮助你查找和分析 CentOS 系统上的所有账户信息,而不仅仅是隐藏或非活动的帐号。
应急响应-账户排查
懂进攻知防守
11-19 2228
服务器被入侵之后,攻击者可能会建立相关账户,方便进行远程控制。主要采用一下几种:1. 直接建立一个新用户;(有时候为了混淆视听,账户名称和系统常用名相似)2. 激活一个系统中的默认用户,但是这个用户不经常使用;3. 建立一个隐藏用。(在windows中,一般在用户名后加$)无论攻击者采用哪种方法,都会在获取账户后,使用工具或是利用相关漏洞将这个用户提升到管理员权限,然后通过这个账户任意控制计算机。
【运维】centos查看连接的会话和所有的账号
比嗨皮兔
04-06 1763
getent passwd:该命令将列出系统中所有用户账号的详细信息,与第一个命令类似,但是能够显示来自其他命名空间的用户账号,例如LDAP或NIS账号等。cat /etc/passwd:该命令将显示系统中所有用户账号的详细信息,包括用户名、用户ID、组ID、用户家目录路径和默认shell等。可以使用whoami命令来查询CentOS 8当前用户的会话信息,该命令将显示当前登录用户用户名。该命令将显示登录用户用户名、终端设备、登录时间以及运行的进程等详细信息。
web开发级Centos实战(上)
05-31
本课程是web开发级mysql实战的姊妹课程。从web开发角度出发讲解基于Centos的实战知识点,从原理上了解web开发的精髓。其的知识点和课课都是干货的讲课风格,小伙伴们懂得。如果你喜欢我们的系列,务必不要错过这门课。本课程特别适合有基础的web程序员
CentOS7-命令 -查看真实以及有效的用户和所在组的信息(id)
weixin_44257023的博客
03-07 1746
CentOS7查看真实以及有效的用户和所在组的信息命令(id) id [用户名称] 常见用法 id root 执行结果:
Linux-CentOS 用户&权限配置
魔希达的博客
04-14 4081
一、用户二、用户组三、目录权限四、登录权限配置五、sudo权限配置 CentOS操作系统下的用户管理以及用户权限管理相关命令。 一、用户 创建用户:adduser user1 修改用户密码:passwd user1 删除用户:userdel -rf user1 查看用户列表:打开 /etc/passwd 文件 二、用户组 创建组:groupadd group1 将用户添加到组:gpasswd -a user1 group1 查看用户组列表:打开 /etc/group 文件 三、目录权限 赋予.
宝鸡蓝方信息技术:运动场所收费系统解决方案
本文介绍的是宝鸡蓝方信息技术有限公司提供的运动场所收费系统,该系统旨在帮助各类运动场所实现自动化管理和收费,提升运营效率。公司自2008年起,积累了丰富的IT服务经验,包括计算机系统集成、网络建设、监控系统...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

MonkeyKing.sun

对你有帮助的话,可以打赏

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值