🚨 先讲个真事:去年某大厂运维小张,因为误用 chmod 777,导致服务器被植入挖矿脚本,损失超过200万。Linux基础命令,用好了是盾,用错了是刀!今天就来聊聊那些能救命的安全命令。
一、🛡️ 用户与权限:防线第一关
很多攻击者第一步就是创建隐藏用户。掌握 cat /etc/passwd 和 cat /etc/shadow 检查异常账户,是最基本的安全习惯。特别要注意 UID 0 的非 root 用户,以及最近修改过的账户。
# 快速检查所有可登录用户
awk -F: '$3>=1000 {print $1}' /etc/passwd
# 查找UID为0的非root用户
awk -F: '($3=="0") {print $1}' /etc/passwd
# 查看最近登录记录
last -10
🔑 关键原则:最小权限。日常操作用普通用户,需要提权时才用 sudo。定期执行 sudo -l 检查自己的权限范围,防止被提权攻击。
二、📡 网络监控:揪出潜伏者
服务器突然变卡?CPU飙升?先别急着重启!用 netstat 或 ss 检查网络连接,很多挖矿木马会建立大量外联。
# 查看所有监听端口(重点检查非标准端口)
ss -tlnp
# 显示所有ESTABLISHED连接(外联IP要关注)
netstat -anp | grep ESTABLISHED
# 查看进程的网络使用情况
lsof -i -P -n | grep LISTEN
- 🚩 发现陌生IP频繁连接?第一时间
kill -9 PID - 🚩 注意
/proc/[pid]/fd 目录,可查看进程打开的文件
三、🧱 文件权限:锁好每一道门
chmod 777 是安全大忌!但很多人不知道 chattr 命令——给文件加一把“不可变锁”。即使拿到root,也无法修改或删除。
# 保护关键配置文件(不可修改、不可删除)
sudo chattr +i /etc/passwd
sudo chattr +i /etc/shadow
sudo chattr +i /etc/ssh/sshd_config
# 查看文件特殊属性
lsattr /etc/passwd
# 谨慎使用!解除保护
sudo chattr -i /etc/passwd
📌 进阶技巧:用 find 命令定期扫描权限异常的文件:
# 查找权限为777的可执行文件
find / -type f -perm 0777 -exec ls -la {} \;
# 查找没有所有者的文件(可疑)
find / -nouser -o -nogroup 2>/dev/null
四、⏳ 日志审计:黑客的犯罪记录
攻击者可以清除日志?不存在的!掌握 journalctl 和 auditd 的组合技,让日志比黑客命还硬。
# 实时监控登录失败(暴力破解预警)
journalctl -f -u sshd | grep "Failed password"
# 查看最近sudo提权记录(重点审计)
sudo cat /var/log/auth.log | grep sudo
# 配置auditd监控敏感文件
auditctl -w /etc/passwd -p wa -k passwd_change
💡 实战技巧:使用 logwatch 每天自动生成安全报告,或者用 fail2ban 自动封禁暴力破解IP。
五、🏥 健康检查:给服务器做个CT
最后一套组合拳——top、ps、lsof 三件套,快速定位可疑进程。
# 按CPU使用率排序查看进程
top -b -n 1 -o %CPU | head -20
# 查看所有用户态进程(过滤内核线程)
ps -eo pid,user,%cpu,command --sort=-%cpu | head
# 查看某个进程打开的所有文件
lsof -p 1234
⚡ 自我检测清单:
- ✅ 是否禁用root远程登录?(
PermitRootLogin no)
👑 安全运维金句
“Linux安全,90%靠基础命令的正确使用。黑客最怕的不是防火墙,而是运维人员对命令的敬畏心。”
2026年了,网络安全形势只会更严峻。今天分享的这5个维度的基础命令,建议收藏起来,每月至少执行一次安全自检。记住:安全不是选择,而是习惯。
💬 你还有哪些压箱底的安全命令?欢迎评论区分享!
👇 点个「在看」,让更多人学会保护服务器