分析日志文件
Netstat ss:也能显示端口号,IP地址和pid号
Nmap命令常用的选项和扫描
-p指定扫描的端口
-n禁用反向dns解析
-S tcp的syn扫描,只向目标发出SYn数据包,如果收到Syn/ack响应包就认为目标端口正在监听,并立即断开连接。否则认为目标端口并未开放
-T tcp连接扫描,这是完整的tcp扫描方式(默认扫描类型),如果建立一个tcp连接,如果成功则认为目标正在监听服务,否则认为目标端口并未开放
-F tcp的fin扫描,开放的端口会忽略这种数据包,关闭的端口会回应Rst数据包。许多防火墙只对Syn数据包进行过滤,而忽略了其他形式的tcp攻击包,这种类型的扫描可间接检测防火墙的健壮性
-u udp扫描,探测目标主机提供哪些udp服务,udp扫描的速度会比较慢
-P icmp扫描,类似于ping检测,快速判断目标主机是否存活,不做其他扫描
-PU跳过ping检测,这种方式认为所有的目标主机是存活的,当对方不响应icmp请求时,使用这种方式可以避免因无法ping通而放弃扫描
Netstat -natp 查看正在运行的使用tcp协议的网络状态信息
Netstat -naup 查看正在运行的使用udp协议的网络状态信息
Natatat命令常用选项
-a:显示主机中所有活动的网络连接信息(包括监听、非监听状态的服务端口)
-n:以数字的形式显示相关的主机地址、端口等信息
-t:查看tcp相关的信息
-u:显示udp协议相关的信息
-p:显示与网络连接相关的进程号、进程号名称信息(该选项需要root权限)
-r:显示路由表信息
-l:显示处于监听状态的网络连接极端口信息
inode号
每个inode都有一个号码,操作系统用inode号码来识别不同的文件
Linux系统内部不适应文件名。而使用inode号码来识别文件
对于用户,文件名只是inode号码便于识别的名称
文件名
inode号码1
文件名
inode号码2
访问权限
根据文件名查找到inode号,根据indoe号找到inode信息
根据inode号判断用户是否具有访问权限
如果有访问权限指向对应
硬盘最小存储单元扇区 512字节
系统存取文件数据时,是通过 块(block)来连续8个扇区组成,4kb大 小,块是文件存取的最小单员
文件存储时文件名和文件数据分开存储的
文件数据 包含原信息和实际数据
文件名-> 目录文件
原信息(包含除了文件名以外的文件属性—>inode)
实际数据->块(bloke)
用户访问文件时,通过文件名找到对应的inode号,通过inode号获取inode信息,根据
Inode信息判断用户是否有权限访问文件,有则指向对于的数据block并读取数据,无责
拒绝访问
查看inode号
Is -i
Stat
Atime 最近的文件访问时间
Mtime 最近的文件内容修改时间
Ctime 最近的文件属性修改时间
每个文件系统(分区)中inode数量是有限的,可通过 df-i查看
如果rm文件名 删除不了文件,可通过inode号删除文件
如果rm文件名,删除不了文件,可通过inode号删除文件
Find目录-inum inode号 -delete
-exec rm -rf{}
移动文件或修改文件名,使用echo修改文件内容,都不会改变inode号
使用vi 编辑器 修改文件 会改变 inode号,因为vi编辑器会替换源文件
ext类型文件恢复分为xfsdump与xfsrestore
日志的分类
内核及系统日志
用户日志
程序日志
日志默认存放于/var/log
Auth 用户认证时产生的日志
Authpriv ssh、ftp等登录信息的验证信息
Doemon 一些守护进程产生的日志
ftp etp产生的日志
Ipr 打印相关活动
Mark rsyslog服务内部的信息,时间标识
Syslog 系统日志
Uucp unix-to-unix copy 两个unix之间的相关通信
Consolo 针对系统控制台的信息
Cron 系统执行定时任务产生的日志
Kern系统内核日志
Local 0~local 17自定义程序使用
Mail 邮件日志
User 用户日志
常见的一些日志文件
内核及公共信息日志
计划任务日志
系统引导日志
邮件引导日志
用户登录日志
日志的功能
用于记录系统、程序运行中发生的各种事件
通过阅读日志,有助于诊断和解决系统故障
主要日志文件
用户登录日志
记录系统用户登录及退出系统的相关信息
内核及系统日志
有系统服务rsyslog统一进行管理,日志格式基本相似
程序日志
有各种应用程序独立管理的日志文件,记录格式不统一
主配置文件/etc/rsylog.conf
info 表示info登记及以上的所有登记的信息都写到对应的日志文件里
Mail.none 表示某事件的信息不写到日志文件里(包括比如邮件)
0 EMERG(紧急)会导致主机系统不可用的情况
1 ALERT(警告)必须马上采取措施解决的问题
2 CRIT(严重)比较严重的情况
3 ERR(错误)运行出现错误
4 WARNING(提醒)可能会影响系统功能的事件
5 NOTICE(注意)不会影响系统但值得注意
6 INFO(信息) 一般信息
7 DEBUG(调试)程序或系统调试信息等
公共日志/var/log/messahes文件的记录格式
时间标签信息发出的日期和时间
主机名生成信息的日志和时间
子系统名称发出信息的应用程序的名称
信息信息的具体内容
系统日志 /var/log/messages,由rsyslog服务来管理,主配置文件/etc/rsyslog.conf
用户登录日志 /var/log/secure
Journalctl 可以直接查看 /var/log/messages 日志内容
-r 倒序看,从最新的日志开始查看
-u指定服务,用于之查看某个服务的日志
-i可以实时跟踪日志的更新
由相应的应用程序独立进行管理
Web服务/var/log/httpd
Aess_log 记录客户访问事件
Error_log 记录错误事件
代理服务/var/log/sqid
Aess.log cache.log
分析工具
文本查看、grep过滤检索、ebmin管理套件中查看
Ak、sed等文本过滤、格式化编辑工具
Webalizer、astats等专用日志分析工具
及时作好备份和归档 rsyslog shell/python 脚本 ELK
延长诶之保存期限
控制日志访问权限
日志中可能会包含各类敏感信息,如账户、口令等
集中管理日志
将服务器的日志文件发到统一的日志文件服务器
便于日志信息的统一收集、整理和分析
杜绝日志信息的意外丢失、恶意篡改或删除