| 1. co dzieje sie w systemie: ls /var/log
2. program może pisać bezpośrednio do powyższego katalogu
3. może też być tak żę syslog/syslog-ng/rsyslog odbiera komunikaty i zapisuje do plików albo wysyła
4. teraz jest systemd a tu journald zajmuje sie tym, najczeście zapisuje do swoich logów binarnych i dalej wywysła do syslog (/etc/systemd/journald.conf)
5. pliki binarne journal oglada się przez journalct, jak właczy sie edytor np / i tekst do szukania
6. plik logów journal są w /var/log/journal
7. np sprawdzenie ostatnich logowań ssh: journalctl -u ssh --since -1h
8. systemctl status pokaże dostępne usługi które możemy wpisać zamias ssh powyżej
9. to samo na /var/log/auth.log
10. są jeszcze logi last-pokazuje ostatnie udane zalogowania i lastb-pokazuje nieudane zalogowaniaq
11. auditd - to audyt logów, ausearch jest programem służacym do oglądania logu audytu, który jest też zapisany jako tekstowy w /var/log/audyt np ausearch -ua stefan -i
12. ccze program do kolorowania logu np ls -al |ccze -A
13. apparmor służy do logowania nadużyć zaloguje apparmor denited
14. id pokazuje do jakiej grupy należy użytkownik
15. ps -ef, pokaż wszystkie procesy wszystkich użytkowników
16. nie dajemy sudo do less bo po wciśnięciu v można edytowac
17. chmod u+s nazwa_programu - program jest uruchamiany jako su
18. setfacl - dodaje dodatkowe uprawnienia, po uprawnienia pojawia sie taki plus mówiący że podpięta jest acces lista acl
19. w, who, loginctl pokazują kto jest zalogowany, loginctl user-status debian pokazuje procesy użytkownika w drzewku
20. ps -ef (lepszy bo daje id i id rodzica) vs ps aux, pstree - ładnie graficznie, pgrep -u debian -a, pkill - zabija procesy użytkownia
21. /proc - reprezentacja procesów systemu, wewnątrz takiego katalogu reprezentującego proces jest exe której jest linkeim do tego co jest uruchomione, fd pokazuje jakie pliki otworzył
22. lsof -n pokazuje otwarte pliki bez połączeń sieciowych
23. env - pokazuje zmienne środowiskowe, ~/.profile, ~/.bashrc
24. which pokazuje co naprawdę uruchamiam
25. lsattr nazwa_pliku - atrybut na pliku powoduje że nie można go usunać, chattr -i usuniecie atrybutu o nieusuwalności pliku
26. stat nazwa_pliku - sporo informacji o pliku
27. kto i co uruchamia można zobaczyć w plikach
28. maile przesyłane nam przez cron można przeczytać przez mail lub edytując plik /var/spool/mail/debian
29. lsmod - wyświetla załadowane moduły, potem modinfo nazwa_modulu, każdy moduł powinien być raczej podpisany tym samym kluczem
30. dmesg - diagnostic messages
31. ruch sieciowy tcpdump -i any,
32. netstat vs ss - praktycznie podobne ale ss nowsze, ss -tn z kim mój system nawiązał połączenie, ss -tnl wychodzące i przychodzące, ss -tnlp dodatkow proces, ss -tnp, lsof -nf ruch wychodzacy
33. narzędzia do wykrywania: chrootkit, rkhunter (sprawdziłem), unhide oraz aide --check (jest to baza plików którą można porównywać z aktualnym stanem plików)
|
