linux下常用排查命令信息安全资料.docxVIP

1.查看用户信息

/etc/passwd查看用户信息文件

/etc/shadow查看影子文件

awk-F:$3==0{print$1}/etc/passwd（查看系统是否还存在其他的特权账户，uid为0，默认系统只存在root一个特权账户）

who查看当前登录用户（tty本地登陆pts远程登录）

w查看系统信息，想知道某一时刻用户的行为

uptime查看登陆多久、多少用户，负载

passwd-dusername删除用户密码

stat/etc/passwd#查看密码文件上一次修改的时间，如果最近被修改过，那就可能存在问题。

cat/etc/passwd|grep-vnologin#查看除了不可登录以外的用户都有哪些，有没有新增的

cat/etc/passwd|grepx:0#查看哪些用户为root权限，有没有新增的

cat/etc/passwd|grep/bin/bash#查看哪些用户使用shell

查询可以远程登录的账号：awk‘/\$1|\$6/{print$1}’/etc/shadow

查询具有sudo权限的账号：more/etc/sudoers|grep-v“^#\|^$”grep“ALL=(ALL)”

2.历史命令

很多的服务器会有存在多用户登陆