kali linux, команды

Список основных команд безопасности

Thank you for reading this post, don't forget to subscribe!

Одна из самых про­стых команд для мони­то­рин­га состо­я­ния ваше­го устрой­ства – это netstat, кото­рый пока­зы­ва­ет откры­тые пор­ты и уста­нов­лен­ные соединения.

Ниже при­ве­ден при­мер выво­да netstat с допол­ни­тель­ны­ми параметрами:

 

Где:

  • -a: пока­зы­ва­ет состо­я­ние сокетов.
  • -n: пока­зы­ва­ет IP-адре­са вме­сто хот-спотов.
  • -p: пока­зы­ва­ет про­грам­му, уста­нав­ли­ва­ю­щую соединение.

 

В пер­вом столб­це пока­зан про­то­кол, вы може­те видеть, что вклю­че­ны как TCP, так и UDP, на пер­вом сним­ке экра­на так­же пока­за­ны соке­ты UNIX. Если вы подо­зре­ва­е­те, что что-то не так, про­вер­ка пор­тов, конеч­но, обязательна.

 

Установка основных правил с UFW:

LinuxHint опуб­ли­ко­вал отлич­ные руко­вод­ства по UFW и Iptables, здесь мы сосре­до­то­чим­ся на бранд­мау­э­ре с огра­ни­чи­тель­ной поли­ти­кой. Реко­мен­ду­ет­ся при­дер­жи­вать­ся огра­ни­чи­тель­ной поли­ти­ки, запре­ща­ю­щей весь вхо­дя­щий тра­фик, если вы не хоти­те, что­бы он был разрешен.

Что­бы уста­но­вить UFW, запустите:

 

Что­бы вклю­чить бранд­мау­эр при запус­ке, выполните:

 

Затем при­ме­ни­те огра­ни­чи­тель­ную поли­ти­ку по умол­ча­нию, запустив:

 

Вам нуж­но будет вруч­ную открыть пор­ты, кото­рые вы хоти­те исполь­зо­вать, запустив:

Проверяем себя с помощью nmap:

Nmap – если не луч­ший, то один из луч­ших ска­не­ров без­опас­но­сти на рын­ке. Это основ­ной инстру­мент, исполь­зу­е­мый систем­ны­ми адми­ни­стра­то­ра­ми для ауди­та сво­ей сете­вой без­опас­но­сти. Если вы нахо­ди­тесь в DMZ, вы може­те ска­ни­ро­вать свой внеш­ний IP-адрес, вы так­же може­те ска­ни­ро­вать свой марш­ру­ти­за­тор или локаль­ный хост.

Как вы види­те, выход­ные дан­ные пока­зы­ва­ют, что мои пор­ты 25 и 8084 открыты.

Nmap име­ет мно­же­ство воз­мож­но­стей, вклю­чая ОС, опре­де­ле­ние вер­сий, ска­ни­ро­ва­ние уяз­ви­мо­стей и т. д.

 

Команда chkrootkit для проверки вашей системы на заражение chrootkit:

Рут­ки­ты, пожа­луй, самая опас­ная угро­за для ком­пью­те­ров. Коман­да chkrootkit (про­ве­рить рут­кит) может помочь вам обна­ру­жить извест­ные руткиты.

Что­бы уста­но­вить chkrootkit, запустите:

 

Затем запу­сти­те:

 

Что­бы быст­ро про­смот­реть запу­щен­ные ресур­сы, вы може­те исполь­зо­вать коман­ду top при запус­ке терминала:


Коман­да iftop для мони­то­рин­га ваше­го сете­во­го трафика:

Еще один отлич­ный инстру­мент для отсле­жи­ва­ния ваше­го тра­фи­ка – iftop:

 

В нашем случае:

 

Коман­да lsof (спи­сок откры­тых фай­лов) для про­вер­ки ассо­ци­а­ции фай­лов <> с процессами:

Если вы подо­зре­ва­е­те, что что-то не так, коман­да lsof может выве­сти спи­сок откры­тых про­цес­сов и про­грамм, с кото­ры­ми они свя­за­ны, при запус­ке консоли:

 

Кто и w, что­бы узнать, кто вошел в ваше устройство:

Кро­ме того, что­бы знать, как защи­тить свою систе­му, необ­хо­ди­мо знать, как реа­ги­ро­вать, преж­де чем вы нач­не­те подо­зре­вать, что ваша систе­ма взло­ма­на. Одна из пер­вых команд, выпол­ня­е­мых перед такой ситу­а­ци­ей, – это w или who, кото­рая пока­жет, какие поль­зо­ва­те­ли вошли в вашу систе­му и через какой тер­ми­нал. Нач­нем с коман­ды w:

 

При­ме­ча­ние: коман­ды «w» и «who» могут не отоб­ра­жать поль­зо­ва­те­лей, вошед­ших в систе­му с псев­до­тер­ми­на­лов, таких как тер­ми­нал Xfce или тер­ми­нал MATE.

В столб­це под назва­ни­ем USER отоб­ра­жа­ет­ся имя поль­зо­ва­те­ля, на сним­ке экра­на выше пока­за­но, что един­ствен­ный заре­ги­стри­ро­ван­ный поль­зо­ва­тель – это andreyex, стол­бец TTY пока­зы­ва­ет тер­ми­нал (tty7), тре­тий стол­бец FROM отоб­ра­жа­ет адрес поль­зо­ва­те­ля, в этом сце­на­рии уда­лен­ные поль­зо­ва­те­ли не вошли в систе­му, но если они вошли в систе­му, вы мог­ли видеть там IP-адре­са. В систе­ме стол­бец @ ука­зы­ва­ет вре­мя, в тече­ние кото­ро­го поль­зо­ва­тель вошел в систе­му, стол­бец JCPU сум­ми­ру­ет минут про­цес­са, выпол­ня­е­мо­го в тер­ми­на­ле или TTY. в PCPU отоб­ра­жа­ет про­цес­сор, исполь­зу­е­мый в про­цес­се, пере­чис­лен­ных в послед­нем столб­це WHO.

В то вре­мя как w рав­но вре­ме­ни без­от­каз­ной рабо­ты , who и ps -a вме­сте дру­гая аль­тер­на­ти­ва, несмот­ря на мень­шую инфор­ма­цию, – это коман­да «who»:

 

Коман­да last для про­вер­ки актив­но­сти входа:

Дру­гой спо­соб кон­тро­ли­ро­вать актив­ность поль­зо­ва­те­лей – исполь­зо­вать коман­ду «last», кото­рая поз­во­ля­ет про­чи­тать файл wtmp, кото­рый содер­жит инфор­ма­цию о досту­пе для вхо­да, источ­ни­ке вхо­да, вре­ме­ни вхо­да в систе­му, с функ­ци­я­ми для улуч­ше­ния опре­де­лен­ных собы­тий вхо­да в систе­му, что­бы попро­бо­вать его запустить:

Послед­няя про­вер­ка актив­но­сти вхо­да в систему :

Коман­да last чита­ет файл wtmp, что­бы най­ти инфор­ма­цию об актив­но­сти вхо­да в систе­му, вы може­те рас­пе­ча­тать ее, запустив:

 

Проверка вашего статуса SELinux и включение его при необходимости:

SELinux – это систе­ма огра­ни­че­ний, кото­рая улуч­ша­ет любую без­опас­ность Linux, она вхо­дит по умол­ча­нию в неко­то­рые дис­три­бу­ти­вы Linux.

Вы може­те про­ве­рить свой ста­тус SELinux, запустив:

 

Если вы полу­чи­ли сооб­ще­ние об ошиб­ке «Коман­да не най­де­на», вы може­те уста­но­вить SELinux, запустив:

 

Затем запу­сти­те:

 

Про­верь­те любую актив­ность поль­зо­ва­те­ля, исполь­зуя исто­рию команд:

В любое вре­мя вы може­те про­ве­рить любую актив­ность поль­зо­ва­те­ля (если вы – root), исполь­зуя исто­рию команд, запи­сан­ную как поль­зо­ва­тель, за кото­рым вы хоти­те наблюдать:

 

Исто­рия команд счи­ты­ва­ет файл bash_history каж­до­го поль­зо­ва­те­ля. Конеч­но, этот файл может быть фаль­си­фи­ци­ро­ван, и вы как root може­те читать этот файл напря­мую, не вызы­вая исто­рию команд. Тем не менее, если вы хоти­те отсле­жи­вать актив­ность, реко­мен­ду­ет­ся бегать.