Linux应急响应-系统排查
2.1.1 系统基本信息
1,cpu信息 lscpu
2,操作系统信息 uname -a
3,模块信息 lsmod
2.1.2 用户信息
1,查看系统所有用户信息 cat/etc/passwd
2,发现超级权限用户 awk -F: '{if($3==0)print $1}' /etc/passwd
命令拆解与功能说明
- -F:
- 指定字段分隔符为冒号 :,用于解析 /etc/passwd 文件中的字段14。
- /etc/passwd 文件以 : 分隔用户信息,包含 7 个字段:用户名:密码占位符:UID:GID:描述:家目录:登录Shell34。
- if($3==0)
- 条件判断:检查第三个字段(即 UID)是否等于 0。在 Linux 系统中,UID=0 表示超级用户(root)账户24。
- print $1
- 若条件满足,则打印第一个字段(即用户名)。最终输出所有 UID=0 的账户名称
3,查看可以登录的用户 cat /etc/passwd |grep '/bin/bash'
/etc/passwd:存储所有用户的基本信息,每行对应一个用户账户24。
grep '/bin/bash':筛选出使用 /bin/bash 作为登录 Shell 的用户,表示这些用户具有交互式登录权限56。
每行输出格式为:
username:password:UID:GID:comment:homedir:shell
字段含义:
| 字段名 | 说明 |
| username | 用户名(登录名),需唯一且不含冒号2。 |
| password | 密码占位符(x 表示实际密码存储在 /etc/shadow 中)45。 |
| UID | 用户唯一标识符。0 表示超级用户(root),1000+ 为普通用户2。 |
| GID | 主用户组标识符,对应 /etc/group 中的组2。 |
| comment | 用户描述信息(如真实姓名、联系方式等)4。 |
| homedir | 用户主目录路径(如 /home/username)6。 |
| shell | 用户登录时执行的 Shell 程序路径,/bin/bash 表示允许登录5。 |
4,查看错误登录信息 lastb
5,查看所有用户最后的登录信息 lastlog
6,查看用户最近登录信息 last
7,查看当前用户登录系统情况
8,查看空口令账户 awk -F: 'length($2)==0 {print$1}' /etc/passwd
2.1.3 启动项
1,查看init.d文件夹下面的的rc.loacl文件内容 cat /etc/init.d/rc.local
2,查看rc.loacl文件内容 cat /etc/rc.local
3,查看ini.d文件夹下所有文件详细信息 ls -alt /etc/init.d
2.1.4 计划任务
1,查看当前计划任务 crontab -l
指定用户查看 crontab -u root -l
2,查看etc文件夹下计划任务文件
