who, whoami, id, finger
lastlog
last ([user]) //wtmp 로그 참조 (login, logoff, system off msg)
lastcomm //pacct로그(login부터 logoff까지의 사용 명령어) 참조
w //utmp로그 참조 (현재 로그인한 사용자들의 시스템 활동)
쉘 변경
chsh
날짜/시간 확인
date
date --date='@12345678'
>> 로그 상 찍힌 시간을 현재 한국 시간으로 변환해서 보는 방법
네트워크 설정 확인
ifconfig -a
ifconfig eth0 promisc
netstat -anp
traceroute
시스템 정보 확인
uname -a (-r) << 운영체제 정보
top
ps -ef (-aux)
pstree
du/df -h << disk usage
ls -aslgR /bin/etc/user
hostname
login.defs << 암호 길이 지정
uptime
free -m << 메모리 사용 현황
lsof -- 실행중인 프로세스 이름과 연결상태 정보 (list open file)
cat /proc/cpuinfo
cat /proc/meminfo
도메인 네임 검색 등
nslookup
dig (dig 4.3.2.1(역방향).origin.asn.cymru.com txt +short )
host
whois
네트워크 관련 작업
tcpdump
tshark -i eth0 -w /tmp/test.pcap
tshark -r http
nmap
컴파일
gcc -o A A.c
서버 점검용 보안 툴
1) 호스트 기반 취약점 점검 도구
cops -- 파일, 디렉터리, 디바이스 퍼미션, 암호, 스타트업 파일... 등 점검
tiger -- $home 이상 유무, 암호 적절성, 시스템 파일 권한 ... 등 점검
chkacct -- 계정 취약점 및 파일 퍼미션, .rhosts 파일 등 점검
2) 호스트/네트워크 취약점 점검 도구
Nessus
3) 무결성 점검 도구
Tripwire -- 시스템 무결성 점검, 파일 내용의 체크섬 값 계산
md5, Sha2, Sha256 ...
4) 접근통제 및 로깅
TCP Wrapper -- 네트워크 서비스 접근통제 및 로그
xinetd
IPFilter (Solaris)
iptables
5) Rootkit 점검
chkrootkit, RKscan
6) SATAN 탐지
Gabriel, Courtney
7) 로깅 및 로그 분석, 삭제
swatch, clearlog
chkwtmp, wipe, zap
8) 기타
Jhon the ripper -- 패스워드 크랙
Ttywatcher -- 시스템 내 로그온 한 모든 tty와 커널과의 통신 도청
snort -- 오픈소스 침입탐지 툴
기본 시스템 명령어
mv/cp [file] [경로] -- move/copy 명령어
rm -f [file] -- remove 명령어
cd/mkdir [directory] -- change directory/make directory 명령어
sudo [command] -- swith user 명령어, 주로 root 권한의 작업을 수행할 때 이용함
kill [PID] -- 해당 PID에 해당하는 프로세스를 kill
vi [filename]
cat [filename]
grep [strings] -- 해당 string 찾기
finger [username] -- 사용자에 대한 많은 정보를 제공
rlogin/telnet/ftp/ssh [hostname] -- rlogin, telnet, ftp, ssh 접속
chmod xxx -- change mode
chown xxx -- change ownership
touch [파일명] -- 0 byte 크기의 파일 생성
passwd -- 암호 변경
man -- 매뉴얼 페이지 정보
sort -- 파일 정렬
file -- 파일 종류 확인
useradd/userdel/adduser -- 사용자 계정 생성 및 삭제
groupadd/groupdel -- 그룹 생성 및 삭제
pwconv/pwunconv -- 패스워드 파일 shadow 파일 동기화, 패스워드 정책.
tar -xvfz [filename.tar.gz]
diff (diff -uNr orig.Backup New.Chk > Patch.file )
awk -F '{print $1]'
uniq -c
umask 022
Sample 명령어들
cat test.log | awk -F '[print $1,$2,$5]' | sort -n | uniq -c
ps -ef | grep xinetd
rpcinfo -p | grep 1000009
find / -type f \(-perm 04000 -o -per 02000 \) -exec ls -lg [] \;
chmod u-s /usr/sbin/suid_file
find / -name '*.tmp' -mtime 30 -print -exec rm [] \;
find / -name .rhost -exec rm {} \; &
find / -user hacker -exec rm {} \; &
find / -type f \(-perm 2 -o -perm 20 \) -exec ls -lg [] \;
find / -user root -perm 4000 -exec rm {}\;
find / ₩( -nouser -o -nogroup ₩) ₩-exec chown root.root {} ₩;
find / -name .rhosts -exec ls -l {} ₩;
find / -name ".*" -print -xdev | cat -v
find / -ctime 7 -ls
chattr +i /etc/services
chown root.users /bin/chmod
zcat ./2013-11-2*/http* | grep "test.com" | awk '{print $11}' | sort | uniq -c
cat /current/conn.log | grep "ftp-data" | awk '{print $4,$5}'
rpcinfo -p |grep 100009
iptables -A INPUT -m state --state ESTABLISHED, RELATED -j ACCEPT
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
iptables -A INPUT -p tcp --tcp-flags ACK.FIN FIN -j DROP
iptables -A INPUT -p tcp --sport 1024: --dport 80 -m state --state NEW -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type echo-request -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.0.1/24 -d 192.168.1.0/24 --dport 22 -j ACCEPT
iptables -A FORWARD -p udp -d 192.168.3.1 --dport 53 -j ACCEPT
댓글 없음:
댓글 쓰기