<aside> 💡 Notion Tip: Linux应急笔记.

</aside>

Linux启动过程

• 内核引导：bios自检，然后按照bios中设置的启动设备来启动，操作系统接管硬件后会读取/boot目录下的内核文件
• 运行init：读取配置文件/etc/inittab 启动init进程
• 根据运行级别启动对应进程
• 系统初始化，运行/etc/init.d下的启动脚本
• 建立终端
• 用户登录

大致流程

• 文件排查
  • ls -a 简单查看隐藏文件
  • /tmp 临时文件
  • /etc/init.d 启动项
  • 加固bash
    • export HISTTIMEFORMAT="%Y-%m-%d %H:%M:%S" whoami@${USER_IP}: "$
    • export HISTFILESIZE=1000000
    • export PROMPT_COMMAND="history -a; history -r; $PROMPT_COMMAND"$
• 进程排查
  • lsof -p PID 查看进程所打开的文件
  • 查看是否采用chattr添加权限
  • top、ps、pstree
  • service —starus-all | more 服务排查
• 系统信息排查
  • 用户
    • last 查看用户最近登录
    • lastb 查看用户错误登录信息
    • lastlog | more 查看所有用户最后登录信息
  • 启动项
    • 检查/etc/rc(0-6,s,).d目录下的启动脚本
    • 计划任务crontab -l
      • crontab -u 用户名 -l 查看用户计划任务
      • ls /etc/cron* 查看计划任务文件
  • 环境变量 echo $PATH
  • 分析sshd
    • strings /usr/sbin/sshd | grep '[1-9]{1,3}.[1-9]{1,3}.'
• 日志排查
  • centos6.5 syslog登录日志配置文件/etc/rsyslog.conf

linux日志

• 自带的审计日志、操作日志、故障日志
• 登录日志：/var/log/lastlog和/var/log/wtmp
• 路径：/var/log
• 必看日志：secure、messages、wtmp