# Linux Blue Team --- [TOC] --- ## 指令 CheatSheet | 指令 | 功能 | | ---------------------------------------------- | ---------------------------- | | History | 確認目前主機名稱。 | | Hostname | 確認目前主機名稱。 | | Whoami / id | 確認目前帳戶及權限。 | | W | 確認目前在線帳戶。 | | cat /etc/passwd | 確認系統帳戶及登入權限。 | | grep '^sudo:.*$' /etc/group \| cut -d: -f4 | 列出可SUDO帳戶。 | | awk -F: '{if($3==0)print $1}' /etc/passwd | 確認高權限帳戶。 | | awk -F/ '$NF != "nologin"'/etc/passwd | 確認可登入帳戶。 | | awk -F: 'length($2)==0 {print $1}' /etc/shadow | 確認空密碼。 | | sudo passwd user | 變更密碼。 | | sudo usermod -L user | 停用帳號。 | | lastlog | 帳號最後登入紀錄。 | | last | 目前帳號登入紀錄。 | | ip addr | 確認網路介面及位址。 | | netstat –tulpn / ss –tulpn | 確認網路位址及Port連線。 | | ufw status | 確認防火牆狀態。 | | ufw allow from 192.168.1.0/24 to any port 22 | 確認僅同隊機器網段可SSH。 | | ufw allow from 10.0.0.1 | 僅允許計分主機可連線。 | | ufw enable / disable | 開/關防火牆。 | | ufw delete 2 | 刪除第2條規則。 | | ps –aux / top / htop | 檢視系統資源與程式運作狀態。 | | kill -9 pid | 關閉異常程式。 | | killall –u user | 關閉user開啟的程式。 | | ls --full-time ./ \| sed -n '/2021-08-08/p' | 查找2021/08/08產生的檔案。 | ## 路徑及預設檔內容清查 ```=sh /etc/passwd /etc/shadow /etc/crontab /etc/resolv.conf /etc/hosts /etc/apt/sources.list /etc/bash.bashrc /var/www /var/tmp /tmp ~/home ~/.bash_profile ~/.bashrc ``` ## 常用工具 - iftop / iptraf / nethogs: Console下網路檢視和實時監控工具 - tcpview: GUI下網路檢視和實時監控工具 - htop: Console圖形化實時系統資源與程序監控工具 - nc: netcat網路測試工具 - rkhunter / chkrookit: rootkit查殺工具 - webmin: Web版系統暨服務管理工具 - legion: 網路服務及網站安全快速滲透測試工具 - nikto: WEB漏洞掃描評估工具 - LinPEAS: LiLinux安全性檢查工具 - LinuxCheck - linux系統自動化安全掃描工具， ## 免費Web Application Firewall 模組 ModSecurity https://github.com/SpiderLabs/ModSecurity Naxsi https://github.com/nbs-system/naxsi