前の記事【Linux の緊急対応(基礎知識の記録)】は、この記事は補足記事であり、両方の記事を組み合わせて使用することができます。後で追加更新されます。
アカウントのセキュリティ#
Linux では、攻撃者は通常、アカウントを追加せず、大きな動きをします。
who
w
uptime
last
余分なおよび疑わしいアカウントを無効化または削除します。
sudo usermod --expiredate 1 ユーザー名 #ログインを禁止する
sudo userdel -r ユーザー名 #アカウントを削除する
awk -F: '($3 < 1000) {print $1,$3}' /etc/passwd #疑わしいアカウントが存在するかどうかを調べる
履歴コマンド#
history
各ユーザーのホームディレクトリの.bash_history ファイル
ポート#
疑わしいポート、IP、PID などの情報を分析します。
netstat -tnlp
ss -tnlp
プロセス#
ps -aux
起動時のアイテム#
systemctl list-unit-files --type=service #ubuntu
chkconfig --list | grep "3:enabled\|3:on\|5:enabled\|5:on" #centos
スケジュールされたタスク#
crontab -l
/var/spool/cron/*
/etc/cron/*
サービス#
chkconfig —list #contos
ログ#
デフォルトのログの保存場所:/var/log/*
設定ファイル:/etc/rsyslog.conf、/etc/syslog.conf
ログサービス:service auditd status
last
lastlog
lastb
各位置のログ情報は以下の通りです:
ログの位置 | 説明 |
---|---|
/var/log/message | コアシステムログファイルで、システムの起動、システムの実行状態、ほとんどのエラーメッセージなどが含まれています。 |
/var/log/dmesg | コア起動ログで、システムの起動時のハードウェア関連情報が含まれています。 |
/var/log/auth.log または **/var/log/secure** | 認証ログで、成功したログイン、失敗したログイン試行、および認証方法が記録されます。 |
/var/log/spooler | UUCP およびニュースデバイスに関連するログ情報です。 |
/var/log/cron | スケジュールされたタスクのログ情報です。 |
/var/log/maillog | メールアクティビティの記録です。 |
/var/log/boot | システムのブートログです。 |
/var/log/wtmpおよび /var/run/utmp | ユーザーのログイン時間が記録されます。(last) |
/var/log/kern | カーネルのエラーおよび警告データの記録で、カスタムカーネルに関連する障害のトラブルシューティングに使用されます。 |
/var/log/btmp | エラーログインログが記録されます。これはバイナリファイルです。(lastb) |
/var/log/cups | 印刷情報のログです。 |
/var/log/lastlog | システム内のすべてのユーザーの最後のログイン時間が記録されます。これはバイナリファイルです。(lastlog) |
/var/log/rpmpkgs | システムにインストールされている rpm パッケージのリスト情報が記録されます。 |
SSH ログ#
/var/log/auth.log #ubuntu
/var/log/secure
ログインに成功した IP を表示します。
grep “Accepted “ /var/log/auth.log | awk ‘{print $11}’ | sort | uniq -c | sort -nr | more #ubuntu
grep ‘Accepted’ /var/log/secure | awk ‘{print $11}’ | sort | uniq -c | sort -nr #centos
ミドルウェアログ#
C:\WINDOWS\system32\LogFiles #iis
/etc/httpd/logs/ #httpd
/var/log/apache2または/usr/local/apache/logs #apache、具体的なパスは[httpd.co](https://httpd.co)nfファイルで定義されています
/var/log/nginx/access.log #nginx
localhost_access.log #tomcat、具体的なパスはconf/logging.propertiesファイルで定義されています
$MW_HOME\user_projects\domains\<domain_name>\servers\<server_name>\logs\access.log #weblogic9、$MW_HOMEはweblogicのインストールディレクトリです
$MW_HOME\user_projects\domains\<domain_name>\<server_name>\access.log #weblogic8
ファイル#
疑わしいファイル
find / -ctime -2 #72時間以内に作成されたファイルを表示
find ./ -**mtime** 0 -name “*.jsp” #24時間以内に変更されたファイルを表示
find / *.jsp -perm 4777 #パーミッションが777のファイルを表示
find ./ -type f -perm /u+x -mtime -10 #最近10日間に変更され、実行可能なパーミッションを持つファイルを検索
セキュリティデバイス#
#シチュエーションアウェアネス #ハニーポット #ファイアウォール #IPS #IDS #WAF