Linux信息收集

关于信息收集的相关命令。有待更新。。。

一、获取内核，操作系统和设备信息
uname -a 所有版本
uname -r 内核版本信息
uname -n 系统主机名字
uname -m Linux内核架构
版本信息
内核信息
cat /proc/version
CPU信息
cat /proc/cpuinfo
cat /etc/*-release
cat /etc/issue
发布信息
主机名 hostname
文件系统 df -a
内核日志 dmesg 或 /var/log/dmesg

二、用户和组
列出系统所有用户 cat /etc/passwd
列出系统所有组 cat /etc/group
列出所有用户hash（root）cat /etc/shadow
查询用户的基本信息 finger
当前登录的用户 users who -a /var/log/utmp
用户
目前登录的用户 w
登入过的用户信息 last / /var/log/wtmp
显示系统中所有用户最近一次登录信息 lastlog 或者 last /var/log/lastlog
登录成功日志 /var/log/secure
登录失败日志 /var/log/faillog
查看特权用户 grep :0 /etc/passwd
查看passwd最后修改时间 ls -l /etc/passwd
查看是否存在空口令用户 awk -F: ‘length($2)==0 {print $1}’ /etc/shadow
查看远程登录的账号 awk '/\$1|\$6/{print $1}' /etc/shadow
查看具有sudo权限的用户 cat /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)"

三、用户和权限信息
当前用户 whoami
当前用户信息 id
可以使用sudo提升到root的用户（root） cat /etc/sudoers
列出目前用户可执行与无法执行的指令 sudo -l

四、环境信息
打印系统环境信息 env
打印系统环境信息 set
环境变量中的路径信息 echo $PATH
打印历史命令 history 或者 ~/.bash_history
显示当前路径 pwd
显示默认系统遍历 cat /etc/profile
显示可用的shell cat /etc/shells

五、进程信息
查看进程信息 ps aux
资源占有情况 top -c
查看进程关联文件 lsof -c [PID]
完整命令行信息 /proc/[PID]/cmdline
进程的命令名 /proc/[PID]/comm
进程当前工作目录的符号链接 /proc/[PID]/cwd
运行程序的符号链接 /proc/[PID]/exe
进程的环境变量 /proc/[PID]/environ
进程打开文件的情况 /proc/[PID]/fd

六、计划任务
显示指定用户的计划作业（root） crontab -l -u %user%
计划任务
/var/spool/cron/*
/var/spool/anacron/*
/etc/crontab
/etc/anacrontab
/etc/cron.*
/etc/anacrontab
开机启动项
chkconfig
/etc/rc.d/init.d/
/ect/rc.local
…

七、网络、路由和通信
列出网络接口信息 /sbin/ifconfig -a 或者 ip addr show
列出网络接口信息 cat /etc/network/interfaces
查看系统arp表 arp -a
打印路由信息 route 或者 ip ro show
查看dns配置信息 cat /etc/resolv.conf
打印本地端口开放信息 netstat -an
列出iptable的配置规则 iptables -L
查看端口服务映射 cat /etc/services
Hostname hostname -f
查看进程端口情况 netstat -anltp | grep [PID]

八、已安装程序
rpm -qa --last Redhat
yum list | grep installed CentOS
ls -l /etc/yum.repos.d/
dpkg -l Debian
cat /etc/apt/sources.list Debian APT
pkg_info xBSD
pkginfo Solaris
pacman -Q Arch Linux

九、文件
最近五天的文件 find / -ctime +1 -ctime -5
文件系统细节 debugfs

十、公私钥信息
~/.ssh
/etc/ssh

十一、日志
/var/log/boot.log
/var/log/cron
/var/log/faillog
/var/log/lastlog
/var/log/messages
/var/log/secure
/var/log/syslog
/var/log/syslog
/var/log/wtmp
/var/log/wtmp
/var/run/utmp

 
GOT IT！
参考文章：https://mp.weixin.qq.com/s/UQsyhvFIgR5BGFIc0CtPZA

 
******************************************************
小实验小结，具体测试利用方式需根据具体实践场景~