服务器取证--linux操作命令
1.查看系统版本cat /etc/redhat-release2.查看内核版本uname -auname -sr3.LVMLVM是逻辑盘卷管理(Logical Volume Manager)的简称,它是Linux环境下对磁盘分区进行管理的一种机制,LVM是建立在硬盘和分区之上的一个逻辑层,来提高磁盘分区管理的灵活性。LVM的工作原理其实很简单,它就是通过将底层的物理硬盘抽象的封装起来,然后以逻辑卷
1.查看系统版本
cat /etc/redhat-release
2.查看内核版本
uname -a
uname -sr
3.LVM
具体可以参考下面两篇文章
LVM是逻辑盘卷管理(Logical Volume Manager)的简称,它是Linux环境下对磁盘分区进行管理的一种机制,LVM是建立在硬盘和分区之上的一个逻辑层,来提高磁盘分区管理的灵活性。
LVM的工作原理其实很简单,它就是通过将底层的物理硬盘抽象的封装起来,然后以逻辑卷的方式呈现给上层应用。在传统的磁盘管理机制中,我们的上层应用是直接访问文件系统,从而对底层的物理硬盘进行读取,而在LVM中,其通过对底层的硬盘进行封装,当我们对底层的物理硬盘进行操作时,其不再是针对于分区进行操作,而是通过一个叫做逻辑卷的东西来对其进行底层的磁盘管理操作。比如说我增加一个物理硬盘,这个时候上层的服务是感觉不到的,因为呈现给上层服务的是以逻辑卷的方式。
LVM最大的特点就是可以对磁盘进行动态管理。因为逻辑卷的大小是可以动态调整的,而且不会丢失现有的数据。如果我们新增加了硬盘,其也不会改变现有上层的逻辑卷。作为一个动态磁盘管理机制,逻辑卷技术大大提高了磁盘管理的灵活性。
可以通过命令行lsblk查看系统磁盘信息,pvscan查看哪些磁盘或者分区是物理卷,pvdisplay能查看其详细信息
同样,通过vgscan查看卷组,vgscan查看其详细信息
也可以通过lvscan查看逻辑卷,lvdisplay查看逻辑卷详细信息
也可以通过进入/etc/lvm/backup查看备份文件
4.centos文件结构
CentOS的目录大体上可分为四类:管理类、用户类、应用程序类、信息类文件目录。
管理类目录:
/boot
linux的内核及引导系统程序所需要的文件目录
/bin
存放标准 linux 的工具,在终端里输入ls,系统就系统将会到该目录查看是否存在该命令程序。
/sbin
大多是涉及系统管理的命令的存放,是超级权限用户root的可执行命令存放地,普通用户无权限执行这个目录下的命令
/var
这个目录的内容是经常变动的,用来存储经常被修改的文件,如日志、数据文件、邮箱等
/etc
主要存放系统配置方面的文件
/dev
主要存放与设备有关的文件
/mnt
这个目录一般是用于存放挂载储存设备的挂载目录的,比如有cdrom 等目录。可以参看/etc/fstab的定义
用户类目录:
/root
系统管理员目录
/home
主要存放个人数据
应用程序类目录:
/lib
该目录用来存放系统动态链接共享库,几乎所有的应用程序都会用到该目录下的共享库
/tmp
临时目录,有些linux会定期清理
/usr
存放一些不适合放在/bin 或 /etc 目录下的额外工具,如个人安装的程序或工具
/usr/local
主要存放那些手动安装的软件,
/usr/bin
用于存放程序
/usr/share
用于存放一些共享数据
/usr/lib
存放一些不能不能直接运行,但却是许多程序运行所必需的一些函数库文件
/opt
主要存放可选程序,直接删除程序不影响系统其设置。安装到/opt目录下的程序,它所有的数据、库文件等等都是放在同个目录下面
信息类目录:
/lost+found
在ext2或ext3文件系统中,当系统意外崩溃或机器意外关机,而产生一些文件碎片放在这里。但当突然停电、或者非正常关机后,有些文件就临时存放在这里。
/proc
操作系统运行时,进程信息及内核信息(比如cpu、硬盘分区、内存信息等)存放在这里
其他重要目录:
/etc/rc.d
放置开机和关机的脚本。
/etc/rc.d/init.d
放置启动脚本
/etc/xinetd.d
配置xinetd.conf可以配置启动其他额外服务。
/usr/include
一些distribution套件的头文件放置目录,安装程序时可能会用到。
/usr/lib*
套件的程序库
/usr/local
默认的软件安装目录。
/usr/share/doc
系统说明文件的放置目录
/usr/share/man
程序说明文件放置目录
/usr/src
内核源代码目录
/usr/X11R6
X的存放目录
查看服务器配置文件,在etc目录下寻找nginx,可以找出网站配置文件,并且查看端口
有关/var目录详解可以查看/var/log目录
/etc目录下一般存放系统和程序所需的配置文件。
例如:/etc/passwd 为系统用户数据库;/etc/fdprm 为软盘参数表;/etc/group 为系统用户组数据库。
/var目录下一般为所有服务的登录的文件或错误信息文件与一些数据库等。
例如:/var/log/boot.log 为系统引导文件;/var/log/messages 为系统报错日志; /var/log/maillog 为邮箱系统日志。
5.反向代理
反向代理是充当Web服务器网关的代理服务器。当您将请求发送到使用反向代理的Web服务器时,他们将先转到反向代理,由该代理将确定是将其路由到Web服务器还是将其阻止。
这意味着有了反向代理,您永远不会与使用它的Web服务器进行直接通信。可以将它们看作web服务器或服务器集群的某种包装器。通过负载平衡和缓存,它们可以保护web免遭攻击,并提供更好的web性能。
6.linux中more命令,与cat差不多,只不过more可以用空格来翻页。
less指令
less 工具也是对文件或其它输出进行分页显示的工具,应该说是linux正统查看文件内容的工具,功能极其强大。less 的用法比起 more 更加的有弹性。 在 more 的时候,我们并没有办法向前面翻, 只能往后面看,但若使用了 less 时,就可以使用 [pageup] [pagedown] 等按 键的功能来往前往后翻看文件,更容易用来查看一个文件的内容!除此之外,在 less 里头可以拥有更多的搜索功能,不止可以向下搜,也可以向上搜。
7.docker
首先查看开放端口
发现其使用了nginx服务,查看其配置文件
发现其下有一个文include一个路径 ,进入路径,发现网站名
查看其中一个网站的配置文件
发现其跳转到了本地代理8091端口
通过查看history命令推测可能是用来docker
使用命令systemctl start docker打开docker的服务
使用命令netstat -anplt查看端口
使用命令docker ps查看容器中的内容
发现有一个端口为8091的docker
使用docker exec -it id号 /bin/bash进入容器
使用history命令发现其也有nginx,查看其配置文件
查看其inclue下的文件
发现将其代理转发到192.168.1.176
但是发现登录日志的目录被注释掉了,不起作用
但是在一开始的配置文件可以看出登录日志的地址
但是文件被重定向了,打不开
只能用docker logs命令(不在容器内部)查看
输入docker logs 08
发现登录ip
输入docker logs 08 | grep 192.168.99.222
总共登录了17次,登录的服务器的原始ip为192.168.99.3
此外也可以用last(退出docker后)看远程登录的用户ip
8.查看计算机id
more /etc/machine-id
9.ntp
a.概念
网络时间协议,英文名称:Network Time Protocol(NTP)是用来使计算机时间同步化的一种协议,它可以使计算机对其服务器或时钟源(如石英钟,GPS等等)做同步化,它可以提供高精准度的时间校正(LAN上与标准间差小于1毫秒,WAN上几十毫秒),且可介由加密确认的方式来防止恶毒的协议攻击。NTP的目的是在无序的Internet环境中提供精确和健壮的时间服务。
b.具体操作
vim /etc/ntp.conf读取ntp配置文件
具体可以查看这篇文章ntp.conf文件详解
10.查看时区
通过命令date或者查看/etc/timezone读取
11.查看用户登录本地服务器
读取/etc/password文件
12.apache配置文件,日志
ubuntu中apache配置文件一般在//etc/ apache2 / apache2 .conf下,日志一般在//var/log/apache2下
具体操作可以看这篇文章apache配置文件解析
centos中apache配置文件一般在/etc/httpd/conf/httpd.conf 默认站点主目录:/var/www/html/ Apache
13.uname命令
输入uname -a可以查看操作系统内核信息以及主机名
更多推荐
所有评论(0)