UNIX应急响应之安全策略
发布时间:2022-04-07 17:11:17 所属栏目:安全 来源:互联网
导读:我们调查系统,必须以高度可信赖的程序执行命令,再加上备份与修复,创建一个工具包是很有必要的。即使在非UNIX/LINUX系统上,创建工具包也应该作为响应的第一步。 首先,我们需要在对应体系结构的系统上编译响应期间需要的工具,且编译程序需要考虑系统兼容
我们调查系统,必须以高度可信赖的程序执行命令,再加上备份与修复,创建一个工具包是很有必要的。即使在非UNIX/LINUX系统上,创建工具包也应该作为响应的第一步。 首先,我们需要在对应体系结构的系统上编译响应期间需要的工具,且编译程序需要考虑系统兼容的问题。 通常我们需要如下的工具: ls dd des file pkginfo find icat lsof md5sum nc netstat pcat perl ps strace strings truss df vi cat kstat ifconfig chkrootkit more gzip last w rm script bash modinfo lsmod [root@ay4z3ro foo]# w 19:50:48 up 43 min, 2 users, load average: 0.00, 0.00, 0.00 USER TTY LOGIN@ IDLE JCPU PCPU WHAT root :0 19:08 ?xdm? 11.10s 0.43s gnome-session root pts/0 19:08 1.00s 0.21s 0.01s w 输出标题行显示了当前系统时间,该系统已运行的时间,当前登陆用户数,最近1分钟,5分钟和15分钟内的平均系统负载。 USER字段显示当前登陆的用户名。TTY字段显示了会话的控制终端,tty表示从控制台登陆,pts/typ则可以表示通过一个网络连接,因为X是个C/S模式的应用程序,所以我在GNOME下开的shell窗口显示为pts。如果不从本地登陆,输出中还有FROM字段,表示建立会话的源地址的域名或IP。LOGIN@ 显示该连接的本地开始时间。IDLE字段显示了自上一个进程运行以来的时间长度。JCPU显示与tty或pts关联的全部进程所使用的时间。PCPU字段显示了WHAT列中当前进程所使用的CPU时间。WHAT列显示用户当前运行的进程。 (编辑:东莞站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐