Lista de comandos esenciales de seguridad de Linux
Usando el comando netstat Para encontrar puertos abiertos:
Uno de los comandos más básicos para monitorear el estado de su dispositivo es netstat que muestra los puertos abiertos y las conexiones establecidas.
Debajo de un ejemplo de la netstat con salida de opciones adicionales:
# netstat -Anp
Dónde:
-a: muestra el estado para los enchufes.
-norte: muestra direcciones IP en lugar de Hots.
-pag: muestra el programa que establece la Conención.
Un extracto de salida mejor apariencia:
La primera columna muestra el protocolo, puede ver que se incluyen tanto TCP como UDP, la primera captura de pantalla también muestra sockets Unix. Si sospecha que algo anda mal, el control de los puertos es, por supuesto, obligatorio.
Establecer reglas básicas con UFW:
Linuxhint ha publicado excelentes tutoriales sobre UFW e iptables, aquí me centraré en un firewall de política restrictiva. Se recomienda mantener una política restrictiva que niegue todo el tráfico entrante a menos que desee que se permita.
Para instalar UFW Run:
# APT Instalar UFW
Para habilitar el firewall en Startup Run:
# sudo ufw habilitar
Luego aplique una política restrictiva predeterminada ejecutando:
# sudo UFW predeterminado negar entrante
Deberá abrir manualmente los puertos que desea usar ejecutando:
# UFW Permitir
Auditarse a sí mismo con nmap:
NMAP es, si no el mejor, uno de los mejores escáneres de seguridad del mercado. Es la herramienta principal utilizada por Sysadmins para auditar su seguridad de red. Si está en un DMZ, puede escanear su IP externa, también puede escanear su enrutador o su host local.
Un escaneo muy simple contra su localhost sería:
Como puede ver, la salida muestra mi puerto 25 y el puerto 8084 están abiertos.
NMAP tiene muchas posibilidades, incluyendo OS, detección de versiones, escaneos de vulnerabilidad, etc.
En Linuxhint hemos publicado muchos tutoriales centrados en NMAP y sus diferentes técnicas. Usted puede encontrarlos aquí.
El comando chkrootkit Para verificar su sistema en busca de infecciones por Chrootkit:
Rootkits son probablemente la amenaza más peligrosa para las computadoras. El comando chkrootkit
(verificar rootkit) puede ayudarlo a detectar RootKits conocidos.
Para instalar CHKROOTKIT Run:
# APT Instalar chkrootkit
Entonces corre:
# sudo chkrootkit
Usando el comando arriba Para verificar los procesos que toman la mayoría de sus recursos:
Para obtener una vista rápida sobre los recursos en ejecución, puede usar el comando superior, en la ejecución del terminal:
# arriba
El comando iftop Para monitorear el tráfico de su red:
Otra gran herramienta para monitorear su tráfico es IFTOP,
# sudo iftop
En mi caso:
# sudo iftop wlp3s0
El comando LSOF (Lista de archivo Abrir) para verificar la asociación de procesos de archivos:
Al sospechar, algo está mal, el comando LSOF puede enumerarlo los procesos abiertos y a qué programas están asociados, en la ejecución de la consola:
# LSOF
Who y W para saber quién ha iniciado sesión en su dispositivo:
Además, para saber cómo defender su sistema, es obligatorio saber cómo reaccionar antes de sospechar que su sistema ha sido pirateado. Uno de los primeros comandos que se ejecutará antes de que tal situación sea w o OMS que mostrará qué usuarios están registrados en su sistema y a través de qué terminal. Comencemos con el comando W:
# W
Nota: Comandos "W" y "Quién" puede no mostrar a los usuarios registrados desde pseudo terminales como XFCE Terminal o Mate Terminal.
La columna llamó USUARIO Muestra el nombre de usuario, La captura de pantalla anterior muestra que el único usuario registrado es Linuxhint, la columna Tty muestra el terminal (TTY7), la tercera columna DE Muestra la dirección de usuario, en este escenario no hay usuarios remotos iniciados, pero si se iniciaron sesión, podría ver direcciones IP allí. El ACCESO@ La columna especifica el tiempo en que el usuario inició sesión, la columna JCPU resume las actas de proceso ejecutadas en la terminal o TTY. el PCPU Muestra la CPU utilizada por el proceso enumerado en la última columna QUÉ.
Mientras w es igual a la ejecución tiempo de actividad, OMS y PS -A Juntos, otra alternativa, a pesar de con menos información, es el comando "OMS":
# OMS
El comando último Para verificar la actividad de inicio de sesión:
Otra forma de supervisar la actividad de los usuarios es a través del comando "Último" que permite leer el archivo WTMP que contiene información sobre el acceso de inicio de sesión, la fuente de inicio de sesión, el tiempo de inicio de sesión, con características para mejorar los eventos de inicio de sesión específicos, para probarlo:
Verificar la actividad de inicio de sesión con el comando último:
El comando lee por última vez el archivo WTMP Para encontrar información sobre la actividad de inicio de sesión, puede imprimirla ejecutando:
# último
Comprobar su estado de Selinux y habilitarlo si es necesario:
Selinux es un sistema de restricción que mejora cualquier seguridad de Linux, se produce de forma predeterminada en algunas distribuciones de Linux, se explica ampliamente aquí en Linuxhint.
Puede verificar su estado de Selinux ejecutando:
# sestatus
Si obtiene un error de comando no encontrado, puede instalar Selinux ejecutando:
# APT Instalar Selinux-Basics Selinux-Policy-Default -y
Entonces corre:
# Selinux-activate
Verifique cualquier actividad del usuario utilizando el comando historia:
En cualquier momento, puede verificar cualquier actividad del usuario (si es root) utilizando el historial de comandos registrado como el usuario que desea monitorear:
# historia
El historial de comando lee el archivo bash_history de cada usuario. Por supuesto, este archivo se puede adulterar, y usted, como root, puede leer este archivo directamente sin invocar el historial de comando. Sin embargo, si desea monitorear la actividad, se recomienda ejecutar la actividad.
Espero que hayas encontrado este artículo sobre los comandos de seguridad de Linux esenciales útiles. Siga a Linuxhint para obtener más consejos y actualizaciones sobre Linux y Networking.