day010
文章目录
- 1. 在Ubuntu中使用visudo
- 2. 别名 alias
- 2.1 查看已配置的别名
- 2.2 配置grep别名
- 2.3 配置rm别名
- 2.4 临时使用配置别名的命令
- 3. 系统校验检查
- 3.1 md5校验
- 3.2 aide 高级入侵检测环境
- 3.2.1 安装aide
- 3.2.2 修改aide配置文件
- 3.2.3 根据配置文件生成初始的指纹信息库
- 3.2.4 使用aide
- 3.2.5 ubuntu中使用aide
- 4. 堡垒机
- 5. 思维导图
1. 在Ubuntu中使用visudo
在Ubuntu中使用visudo命令修改用户权限时,默认并不是用vi或vim编辑器打开的,而是nano。nano是一个轻量级的文本编辑器,但是我们需要选择vim作为默认编辑器。
在光标处编辑:
Defaults editor=/usr/bin/vim,该路径就是vim命令的绝对路径。
[root@oldboy99-Ubuntu ~]# which vim
/usr/bin/vim
然后按ctrl+x退出,选择Y保存回车即可。再次使用visudo就是用vim打开了。
2. 别名 alias
- 别名相当于命令的昵称
- 一般用于精简命令,或为危险命令加上保险
- 配置别名的格式:
alias 别名='命令'
2.1 查看已配置的别名
- 永久配置别名的文件:
- /etc/profile (全局配置文件)
- 用户目录/.bashrc (只针对当前用户有效)
- 修改配置文件后都要source 文件名,重新加载配置文件
[root@oldboy99-Kylin ~]# alias
alias cp='cp -i'
alias grep='grep --color'
alias l.='ls -d .* --color=auto'
alias ll='ls -l --color=auto'
alias ls='ls --color=auto'
alias mv='mv -i'
alias rm='echo "rm is disabled,please use mv!"'
[root@oldboy99-Kylin ~]# grep 'alias' /etc/profile
# Functions and aliases go in /etc/bashrc
alias grep='grep --color'
[root@oldboy99-Kylin ~]# grep 'alias' ~/.bashrc
# User specific aliases and functions
# alias rm='rm -i'
alias rm='echo "rm is disabled,please use mv!"'
alias cp='cp -i'
alias mv='mv -i'- 同一个别名只能出现一次,如果有多个会冲突
2.2 配置grep别名
- 红帽系统中,grep命令的结果没有颜色显示,可以给grep加上别名
- 直接在命里行设置别名是临时的,用户重新登录会失效。
[root@oldboy99-Kylin ~]# alias grep
alias grep='grep --color'
# 查看grep别名是在哪个文件中配置的
[root@oldboy99-Kylin ~]# grep 'alias' /etc/profile
# Functions and aliases go in /etc/bashrc
alias grep='grep --color'
# 进入文件修改grep别名
[root@oldboy99-Kylin ~]# vim /etc/profile
# 最后重新加载配置文件
[root@oldboy99-Kylin ~]# source /etc/profile
[root@oldboy99-Kylin ~]# alias grep
alias grep='grep --color=auto'
2.3 配置rm别名
- rm命令较为危险,可以用别名配置一个警告信息:
alias rm='echo rm is disabled,please use mv!'- 红帽系统自动配置了rm别名,注意不要冲突
[root@oldboy99-Kylin ~]# grep 'alias rm=' /etc/profile
[root@oldboy99-Kylin ~]# grep 'alias rm=' ~/.bashrc
alias rm='rm -i'
# rm别名配置在用户配置文件中,进入修改
[root@oldboy99-Kylin ~]# vim ~/.bashrc
# 重新加载配置文件
[root@oldboy99-Kylin ~]# source ~/.bashrc
# 将原来的rm别名注释起来,加入自己配置的别名
[root@oldboy99-Kylin ~]# grep 'alias rm=' ~/.bashrc
# alias rm='rm -i'
alias rm='echo "rm is disabled,please use mv!"'
# 别名配置成功
[root@oldboy99-Kylin ~]# rm ./oldboy/
rm is disabled,please use mv! ./oldboy/
2.4 临时使用配置别名的命令
- 在别名前加反斜线\
- 使用命令的绝对路径
[root@oldboy99-Kylin ~]# rm ./pass.txt
rm is disabled,please use mv! ./pass.txt
[root@oldboy99-Kylin ~]# /bin/rm pass.txt
[root@oldboy99-Kylin ~]# touch pass.txt
[root@oldboy99-Kylin ~]# \rm pass.txt
3. 系统校验检查
3.1 md5校验
- md5是一种广泛使用的密码散列函数,也叫指纹校验,底层原理是哈希(hash)算法。
- md5校验针对文件通过函数(命令)生成该文件的哈希值。如果该值变化了意味着文件内容也发生了改变。
- 应用场景:
- 1.检查文件内容是否发生改变
- 2.检查下载的文件与官方文件是否一致
[root@oldboy99-Kylin ~]# md5sum test.txt
1dda065a53b77347d54ad038f0267a36 test.txt
[root@oldboy99-Kylin ~]# md5sum test.txt > test.txt.md5
# 校验文件内容是否发生改变
[root@oldboy99-Kylin ~]# md5sum --check test.txt.md5
test.txt: 成功
[root@oldboy99-Kylin ~]# echo '123' >> test.txt
[root@oldboy99-Kylin ~]# md5sum --check test.txt.md5
test.txt: 失败
md5sum: 警告:1 个校验和不匹配
- md5只能校验文件内容是否发生改变,不能校验文件属性是否变化
3.2 aide 高级入侵检测环境
- 通过配置文件监控目录下文件内容或属性是否发生改变
3.2.1 安装aide
[root@oldboy99-Kylin ~]# yum install -y aide
上次元数据过期检查:2:04:59 前,执行于 2025年05月08日 星期四 15时16分01秒。
软件包 aide-0.16.2-3.ky10.x86_64 已安装。
依赖关系解决。
无需任何处理。
完毕!
3.2.2 修改aide配置文件
[root@oldboy99-Kylin ~]# vim /etc/aide.conf
- 21行: FIPSR = p+i+n+u+g+s+m+c+acl+selinux+xattrs+sha256
| 字符 | 说明 |
|---|---|
| p | permission,权限 |
| i | inode |
| n | 硬链接数量 |
| u | uid |
| g | gid |
| s | size,文件大小 |
| m | mtime,文件修改时间 |
| c | ctime,属性变化时间 |
| acl+selinux | 特殊权限 |
| xattrs | 特殊属性 |
- 删掉47行之后的内容:dG
- 添加几个目录
3.2.3 根据配置文件生成初始的指纹信息库
[root@oldboy99-Kylin ~]# aide --init
Start timestamp: 2025-05-08 17:30:40 +0800 (AIDE 0.16.2)
AIDE initialized database at /var/lib/aide/aide.db.new.gz #指纹库文件Number of entries: 1207---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------/var/lib/aide/aide.db.new.gzMD5 : FMe/5SLSkiZdmpw/jGUd/g==SHA1 : IW54y8OGcDeSeNPI725Ne1QtYZU=RMD160 : NpzCUAFECRZAVcrjJcUM3KNCnqo=TIGER : fGibEb6nV4SY+7mdXrFO0mkOx2izY9grSHA256 : K/8t8YnQQl3nRpy7mX6u3YRHbPZFaCLltEgsXMjSPfo=SHA512 : Bq89+kPRznPI3mqBR2nUYz0irR2mW8VkNdk5NpHj970BBNIA8YzOrJRGPt2idRubTBQKPLAYL5MJ1ju6xXZvPw==SM3 : csReoQ0FzMPtGNp+MwAfzVp/jFl9P7RgleMRACputMQ=End timestamp: 2025-05-08 17:30:47 +0800 (run time: 0m 7s)
- 修改指纹库文件名
[root@oldboy99-Kylin ~]# mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
3.2.4 使用aide
[root@oldboy99-Kylin ~]# aide --check
Start timestamp: 2025-05-08 17:38:01 +0800 (AIDE 0.16.2)
AIDE found differences between database and filesystem!!Summary:Total number of entries: 1207Added entries: 0Removed entries: 0Changed entries: 10---------------------------------------------------
Changed entries:
---------------------------------------------------d = ... mc.. .. : /etc
f = ... mc..... : /etc/.kyinfo
f = ... mc..C.. : /etc/adjtime
f = ... mc..... : /etc/localtime_tmp
f > ... mci.C.. : /etc/passwd
f > ... mci.C.. : /etc/profile
f = ... mci.... : /etc/resolv.conf
f = ... mc..... : /etc/tuned/active_profile
f = ... mc..... : /etc/tuned/post_loaded_profile
f = ... mc..... : /etc/tuned/profile_mode---------------------------------------------------
Detailed information about changes:
---------------------------------------------------Directory: /etcMtime : 2025-05-08 11:45:12 +0800 | 2025-05-08 17:29:56 +0800Ctime : 2025-05-08 11:45:12 +0800 | 2025-05-08 17:29:56 +0800File: /etc/.kyinfoMtime : 2025-05-08 08:55:01 +0800 | 2025-05-08 13:11:12 +0800Ctime : 2025-05-08 08:55:01 +0800 | 2025-05-08 13:11:12 +0800File: /etc/adjtimeMtime : 2025-05-07 22:03:42 +0800 | 2025-05-08 13:00:51 +0800Ctime : 2025-05-07 22:03:42 +0800 | 2025-05-08 13:00:51 +0800SHA256 : zVfdYGkDIGMuAwoU9uDvZQ9MH/bg0+m8 | f6rqnQemVgt0cbI6WdYxr63H6BtbD66bO30IgdbsVMA= | ZETNeJId5SA=File: /etc/localtime_tmpMtime : 2025-05-08 11:45:01 +0800 | 2025-05-08 17:30:01 +0800Ctime : 2025-05-08 11:45:01 +0800 | 2025-05-08 17:30:01 +0800File: /etc/passwdSize : 1970 | 1971Mtime : 2025-05-07 19:22:41 +0800 | 2025-05-08 11:47:37 +0800Ctime : 2025-05-07 19:22:41 +0800 | 2025-05-08 11:47:37 +0800Inode : 134862707 | 134909514SHA256 : 2b0vPIZH2wRU7hU0yt29YwxBpJHZGCpz | KYas802yqRMc1w2UybgnVFvbLiaM8vwgN5w4uLVXILg= | qd7vKY19AH8=File: /etc/profileSize : 1917 | 1922Mtime : 2025-05-08 09:17:54 +0800 | 2025-05-08 16:52:04 +0800Ctime : 2025-05-08 09:17:54 +0800 | 2025-05-08 16:52:04 +0800Inode : 134909507 | 134907000SHA256 : +J8+EGBYuoqiR1YxTqtkxUUB+pp7u9kj | Zi3aPZDJhZTYZ9/rEb8sRP+wk/H+ULmeQ1mQUt2aX4s= | yc5mL1uWt9Q=File: /etc/resolv.confMtime : 2025-05-08 08:49:58 +0800 | 2025-05-08 13:05:49 +0800Ctime : 2025-05-08 08:49:58 +0800 | 2025-05-08 13:05:49 +0800Inode : 134906982 | 134896791File: /etc/tuned/active_profileMtime : 2025-05-08 08:50:04 +0800 | 2025-05-08 13:05:51 +0800Ctime : 2025-05-08 08:50:04 +0800 | 2025-05-08 13:05:51 +0800File: /etc/tuned/post_loaded_profileMtime : 2025-05-08 08:50:04 +0800 | 2025-05-08 13:05:51 +0800Ctime : 2025-05-08 08:50:04 +0800 | 2025-05-08 13:05:51 +0800File: /etc/tuned/profile_modeMtime : 2025-05-08 08:50:04 +0800 | 2025-05-08 13:05:51 +0800Ctime : 2025-05-08 08:50:04 +0800 | 2025-05-08 13:05:51 +0800---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------/var/lib/aide/aide.db.gzMD5 : 3cmThS99az/eSfHi/ACMag==SHA1 : DEVnNL/SYx4twBdu44VUQmOoBMg=RMD160 : T++M09EQFUKlCSG60ZR1eMQW35w=TIGER : dmMLiU6Xhn0WUxTlaNMKJdffA86ZFE4eSHA256 : xXQTBopOrIB9fcpQUUxo4m5EmfWB3aEvabeZR+9tBaA=SHA512 : XPGyMcSu+TXOuuFPDYwd+x4uBIch7oNW6Ck9q03y8f8yOvVoBSJoiIjIOa/FhH0wUFLbrn5qWSgSEtNHkYm7gw==SM3 : JUsK7JK2iZixTny6sqkJUBYVvewWPU88UAzt9g8wnfk=End timestamp: 2025-05-08 17:38:01 +0800 (run time: 0m 0s)3.2.5 ubuntu中使用aide
- 下载:
apt install -y aide - 配置文件:
/etc/aide/aide.conf - aide初始化
- 修改指纹信息哭文件名
- 检查文件是否有变化
[root@oldboy99-Ubuntu ~]# aide --init --config /etc/aide/aide.conf
Start timestamp: 2025-05-08 17:40:26 +0800 (AIDE 0.17.4)
AIDE initialized database at /var/lib/aide/aide.db.new
Ignored e2fs attributes: EIhNumber of entries: 157862---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------/var/lib/aide/aide.db.newSHA256 : U4E7qwsImmMab1eoqZ663Xd7wumlh1UabK6C+da/Bgw=SHA512 : aRDakRO26dihqsH95ZyaISfB9AX3PnQHK5Y1yxxY0nYBKk8z6n1trCQNPP7UyWQFW41KZxBMTgbvSrk1Norwig==RMD160 : rJHXcGvWqWBOcvJ6ojmiAUNLLjA=TIGER : C+yYqvUyIY61M6mGn2H8CzWCnBZSuejvCRC32 : iWDxrA==HAVAL : YvmKPOEO3PInbsVcKYwYc49laetAb9cogvyYXWjfkpA=WHIRLPOOL : CNaf5g5JdKR2q7uHI1gqOq7epzKmW/UFxe8aUygrTSRGmvyRuFkRal0FBaAhD+81gKYy6fIR3Qv9Bu1rbEtJDA==GOST : 1FWjiBsFEyl2t1ByUpLWFQUtMM4ZF6z4tc6wpu3SnU0=End timestamp: 2025-05-08 17:49:24 +0800 (run time: 8m 58s)
[root@oldboy99-Ubuntu ~]# mv /var/lib/aide/aide.db.new /var/lib/aide/aide.db
[root@oldboy99-Ubuntu ~]# aide --check --config /etc/aide/aide.conf
Start timestamp: 2025-05-08 17:54:29 +0800 (AIDE 0.17.4)
AIDE found differences between database and filesystem!!
Ignored e2fs attributes: EIhSummary:Total number of entries: 157862Added entries: 1Removed entries: 1Changed entries: 0---------------------------------------------------
Added entries:
---------------------------------------------------f+++++++++++++++++: /var/lib/aide/aide.db---------------------------------------------------
Removed entries:
---------------------------------------------------f-----------------: /var/lib/aide/aide.db.new---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------/var/lib/aide/aide.dbSHA256 : U4E7qwsImmMab1eoqZ663Xd7wumlh1UabK6C+da/Bgw=SHA512 : aRDakRO26dihqsH95ZyaISfB9AX3PnQHK5Y1yxxY0nYBKk8z6n1trCQNPP7UyWQFW41KZxBMTgbvSrk1Norwig==RMD160 : rJHXcGvWqWBOcvJ6ojmiAUNLLjA=TIGER : C+yYqvUyIY61M6mGn2H8CzWCnBZSuejvCRC32 : iWDxrA==HAVAL : YvmKPOEO3PInbsVcKYwYc49laetAb9cogvyYXWjfkpA=WHIRLPOOL : CNaf5g5JdKR2q7uHI1gqOq7epzKmW/UFxe8aUygrTSRGmvyRuFkRal0FBaAhD+81gKYy6fIR3Qv9Bu1rbEtJDA==GOST : 1FWjiBsFEyl2t1ByUpLWFQUtMM4ZF6z4tc6wpu3SnU0=End timestamp: 2025-05-08 18:03:33 +0800 (run time: 9m 4s)
4. 堡垒机
- 堡垒机/跳板机:对Linux远程连接进行防护/设计(操作记录)
- 堡垒机:功能复杂,记录、回访、用户管理等
- 跳板机:功能简单
5. 思维导图
【金山文档】 思维导图 https://www.kdocs.cn/l/co3I7PtpTYQX