基本 Linux 安全命令列表

本教程展示了一些面向安全的最基本的 Linux 命令。

使用命令netstat查找开放端口：

监视设备状态的最基本命令之一是 netstat，它显示打开的端口和已建立的连接。

下面是带有附加选项输出的 netstat 示例：

其中：-a：显示套接字的状态。-n：显示 IP 地址而不是热点。-p：显示建立连接的程序。

输出摘录更好看：

第一列显示了协议，您可以看到 TCP 和 UDP 都包含在内，第一个屏幕截图还显示了 UNIX 套接字。如果您怀疑出现问题，当然必须检查端口。

使用UFW设置基本规则：

LinuxHint 已经发布了有关 UFW 和 Iptables 的精彩教程，这里我将重点介绍限制性策略防火墙。建议保留拒绝所有传入流量的限制性策略，除非您希望允许它。

要安装 UFW，请运行：

要在启动时启用防火墙，请运行：

然后通过运行以下命令应用默认限制策略：

您需要通过运行以下命令手动打开要使用的端口：

使用nmap审核自己：

Nmap 即使不是最好的，也是市场上最好的安全扫描仪之一。它是系统管理员用来审核网络安全的主要工具。如果您位于 DMZ 中，您可以扫描您的外部 IP，也可以扫描您的路由器或本地主机。

对本地主机的一个非常简单的扫描是：

如您所见，输出显示我的端口 25 和端口 8084 已打开。

Nmap 有很多可能性，包括操作系统、版本检测、漏洞扫描等。在 LinuxHint 上，我们发布了很多专注于 Nmap 及其不同技术的教程。您可以在这里找到它们。

命令 chkrootkit 检查您的系统是否有 chrootkit 感染：

Rootkit 可能是对计算机最危险的威胁。命令 chkrootkit

（检查 Rootkit）可以帮助您检测已知的 Rootkit。

要安装 chkrootkit，请运行：

然后运行：

要快速查看正在运行的资源，您可以使用命令 top，在终端上运行：

命令 iftop 监控您的网络流量：

另一个监控流量的好工具是 iftop，

就我而言：

命令 lsof （列出打开的文件）检查文件 <> 进程关联：

一旦怀疑出现问题，命令 lsof 可以在控制台运行时列出打开的进程以及它们与哪些程序关联：

who 和 w 了解谁登录了您的设备：

此外，要了解如何保护您的系统，必须在怀疑您的系统遭到黑客攻击之前了解如何做出反应。在出现这种情况之前首先运行的命令之一是 w 或 who，它们将显示用户登录的内容您的系统以及通过什么终端。让我们从命令 w: 开始

注意：命令“w”和“who”可能不会显示从Xfce终端或MATE终端等伪终端登录的用户。

名为USER的列显示用户名，上面的屏幕截图显示唯一登录的用户是linux，TTY列显示终端（tty7），第三列FROM显示用户地址，在这种情况下，没有远程用户登录，但如果他们登录了，您可以在那里看到IP地址。 LOGIN@ 列指定用户登录的时间，JCPU 列总结了在终端或 TTY 中执行的进程的分钟数。 PCPU 显示最后一列WHAT 中列出的进程使用的CPU。

而 w 等于同时执行 uptime、who 和 ps -a 另一种选择，尽管信息较少命令“谁”：

命令 last 检查登录活动：

监督用户活动的其他方法是通过命令“last”，该命令允许读取文件wtmp，其中包含有关登录访问、登录源、登录时间的信息，并具有改进特定登录事件的功能，以尝试运行：

使用命令 last 检查登录活动：

该命令最后读取文件 wtmp 以查找有关登录活动的信息，您可以通过运行以下命令来打印它：

检查您的 SELinux 状态并在需要时启用它：

SELinux 是一种提高 Linux 安全性的限制系统，它默认出现在某些 Linux 发行版上，在 linux 上对此进行了广泛的解释。

您可以通过运行以下命令来检查 SELinux 状态：

如果出现命令未找到错误，您可以通过运行以下命令来安装 SELinux：

然后运行：

使用命令历史记录检查任何用户活动：

您可以随时使用以要监视的用户身份记录的命令历史记录来检查任何用户活动（如果您是 root）：

命令历史记录读取每个用户的文件bash_history。当然，这个文件可以被掺假，你作为 root 可以直接读取这个文件，而不需要调用命令历史记录。然而，如果您想监控活动，建议运行。

我希望这篇关于基本 Linux 安全命令的文章对您有用。继续关注 LinuxHint，了解有关 Linux 和网络的更多提示和更新。