整套网站设计,中国国际进口博览会上海,手机网站自适应代码,东莞市建设质量监督网站目录 概述lscpu-显示有关CPU架构的信息uname-查看系统信息lsmod-输出加载的所有模块lastb-输出最后登录失败的用户last-展示用户最近登录信息lastlog-展示所有用户最后的登录时间systemctl-系统服务#xff0c;开机自启排查crontab-计划任务选项 history-查看历史命令选项常用… 目录 概述lscpu-显示有关CPU架构的信息uname-查看系统信息lsmod-输出加载的所有模块lastb-输出最后登录失败的用户last-展示用户最近登录信息lastlog-展示所有用户最后的登录时间systemctl-系统服务开机自启排查crontab-计划任务选项 history-查看历史命令选项常用选项 ps-查看进程标题行解释选项常用选项组合显示所有用户的所有进程信息(-aux)以全格式显示进程信息-ef显示详细的线程信息(-eLf)自定义输出格式-eo显示指定进程ID的详细信息显示指定用户的所有进程信息按CPU使用率降序排列进程信息(--sort) lsof-显示Linux系统当前已打开的所有文件列表标题行解释选项常用选项 top-查看部分进程并排序标题行解释选项常用选项 kill-杀死进程strace-监控进程选项常用选项 fuser-使用文件或文件结构识别进程su选项常用选项 sudo选项常用选项 参考 概述
本文介绍下在应急响应过程中linux系统下排查系统、进程、服务可能用到的命令有些命令选项很多读者可以仅看常用选项。不涉及内存、进程注入、rootkit等高级攻击的排查。
lscpu-显示有关CPU架构的信息 uname-查看系统信息
-a, --all 按顺序打印全部信息如果 -p 和 -i 的信息是未知那么省略。 -s, --kernel-name 打印内核名称。 -n, --nodename 打印网络节点主机名称。 -r, --kernel-release 打印内核release。 -v, --kernel-version 打印内核版本。 -m, --machine 打印机器名称。 -p, --processor 打印处理器名称。 -i, --hardware-platform 打印硬件平台名称。 -o, --operating-system 打印操作系统名称。 –help 显示帮助信息并退出。 –version 显示版本信息并退出。 lsmod-输出加载的所有模块 Module模块的名称。Size模块的大小。Used依赖模块的个数。by依赖模块的内容。
lastb-输出最后登录失败的用户 last-展示用户最近登录信息
常用-n参数n为展示的数量
lastlog-展示所有用户最后的登录时间 systemctl-系统服务开机自启排查
systemctl命令 是系统服务管理器指令它实际上将 service 和 chkconfig 这两个命令组合到一起。
任务旧指令新指令使某服务自动启动chkconfig --level 3 httpd onsystemctl enable httpd.service使某服务不自动启动chkconfig --level 3 httpd offsystemctl disable httpd.service检查服务状态service httpd statussystemctl status httpd.service 服务详细信息 systemctl is-active httpd.service 仅显示是否 Active)显示所有已启动的服务chkconfig --listsystemctl list-units --typeservice启动服务service httpd startsystemctl start httpd.service停止服务service httpd stopsystemctl stop httpd.service重启服务service httpd restartsystemctl restart httpd.service重载服务service httpd reloadsystemctl reload httpd.service
举例
systemctl list-units --typeservice查看自启服务
systemctl list-units --typeservice | grep enabledcrontab-计划任务
linux自动启动crond进程crond进程每分钟会定期检查是否有要执行的任务如果有要执行的任务则自动执行该任务。
选项
-e编辑该用户的计时器设置 -l列出该用户的计时器设置 -r删除该用户的计时器设置 -u用户名称指定要设定计时器的用户名称。
Linux下的任务调度分为两类 系统任务调度 和 用户任务调度 。
系统任务调度 系统周期性所要执行的工作比如写缓存数据到硬盘、日志清理等。在/etc目录下有一个crontab文件这个就是系统任务调度的配置文件。
/etc/crontab文件包括下面几行 SHELL/bin/bash PATH/sbin:/bin:/usr/sbin:/usr/bin MAILTOroot HOME/ 前四行是用来配置crond任务运行的环境变量 第一行SHELL变量指定了系统要使用哪个shell这里是bash 第二行PATH变量指定了系统执行命令的路径 第三行MAILTO变量指定了crond的任务执行信息将通过电子邮件发送给root用户如果MAILTO变量的值为空则表示不发送任务执行信息给用户 第四行的HOME变量指定了在执行命令或者脚本时使用的主目录。
用户任务调度 用户定期要执行的工作比如用户数据备份、定时邮件提醒等。用户可以使用 crontab 工具来定制自己的计划任务。所有用户定义的crontab文件都被保存在/var/spool/cron目录中。其文件名与用户名一致。 crontab文件的含义用户所建立的crontab文件中每一行都代表一项任务每行的每个字段代表一项设置它的格式共分为六个字段前五段是时间设定段第六段是要执行的命令段格式如下
minute hour day month week command其中
minute 表示分钟可以是从0到59之间的任何整数。hour表示小时可以是从0到23之间的任何整数。day表示日期可以是从1到31之间的任何整数。month表示月份可以是从1到12之间的任何整数。week表示星期几可以是从0到7之间的任何整数这里的0或7代表星期日。command要执行的命令可以是系统命令也可以是自己编写的脚本文件。
在以上各个字段中还可以使用以下特殊字符
星号*代表所有可能的值例如month字段如果是星号则表示在满足其它字段的制约条件后每月都执行该命令操作。逗号,可以用逗号隔开的值指定一个列表范围例如“1,2,5,7,8,9”中杠-可以用整数之间的中杠表示一个整数范围例如“2-6”表示“2,3,4,5,6”正斜线/可以用正斜线指定时间的间隔频率例如“0-23/2”表示每两小时执行一次。同时正斜线可以和星号一起使用例如*/10如果用在minute字段表示每十分钟执行一次。
举例
每月2号和每周五每两分钟以lady_killer用户身份执行一次touch /tmp/lady_killer_test.txt 可以看到已经创建成功
history-查看历史命令
默认读取~/.bash_history中的历史命令
选项
-c 清空历史列表。 -d offset 根据offset删除记录。如果是正数则表示offset位置的记录如果为负数则表示从结尾向前offset位置的记录。 -a 将当前终端的历史记录行添加到历史记录文件。 -n 将尚未从历史文件中读取的历史行追加到当前历史列表中。 -r 读取历史文件并将其内容附加到历史列表中。 -w 将当前历史记录列表附加到历史记录文件中并且附加它们到历史列表中。 -p 在每个arg上执行历史记录扩展并在标准输出上显示结果而不将结果存储在历史记录列表中。 -s 将每个arg作为单个条目附加到历史记录列表。
常用选项
查看最近5条 在命令行中可以使用符号!执行指定序号的历史命令 接下来看看攻击者删除历史命令的方法 方法1:
echo ~/.bash_history可以看到留下了清理痕迹
方法2:
vim ~/.bash_history依然留下了清理痕迹 方法3
history -c命令行terminal无法查看但文件中还存在 方法4:
rm ~/.bash_history touch ~/.bash_history依然留下了清理痕迹
总之通过清理痕迹的方式能够让应急同学看不到执行了什么命令但最后的清理动作会保留。 应急同学可以学习一下history加固相关知识增加条数、IP、执行用户以及使用chattr防止篡改。
ps-查看进程
ps实用程序显示标题行然后显示包含有关所有具有控制终端的进程的信息的行。
通过使用-a、-G、-g、-p、-T、-t、-U和-u选项的任意组合可以选择显示不同的进程集。如果给出了多个这些选项中的一个以上则ps将选择满足至少一个给定选项的所有进程。
对于已选择显示的进程ps通常会每个进程显示一行。对于某些进程-M选项可能会导致多个输出行每个线程一行。默认情况下所有这些输出行首先按控制终端排序然后按进程ID排序。-m、-r和-v选项将更改排序顺序。如果给出了多个排序选项则所选进程将按最后指定的排序选项进行排序。
对于已选择显示的进程所选择要显示的信息是基于一组关键字来选择的。默认输出格式包括每个进程的进程ID、控制终端、CPU时间包括用户和系统时间、状态和关联命令。
标题行解释
%cpu进程的CPU利用率时间基准因计算方式不同而异因此所有%cpu字段的总和可能超过100%。%mem该进程使用的实际内存的百分比。flags与进程关联的标志如包含文件sys/proc.h中所示 P_ADVLOCK 0x00001 进程可能持有 POSIX 推荐锁 P_CONTROLT 0x00002 拥有控制终端 P_LP64 0x00004 进程是 LP64 的 P_NOCLDSTOP 0x00008 子进程停止时没有 SIGCHLD P_PPWAIT 0x00010 父进程正在等待子进程 exec/exit P_PROFIL 0x00020 已开始分析 P_SELECT 0x00040 正在选择唤醒/等待危险 P_CONTINUED 0x00080 进程被停止并继续执行 P_SUGID 0x00100 上次执行以来设置过 ID 特权 P_SYSTEM 0x00200 系统进程没有信号、统计信息或交换 P_TIMEOUT 0x00400 在休眠期间计时超时 P_TRACED 0x00800 被调试的进程正在被跟踪 P_WAITED 0x01000 调试进程一直在等待子进程 P_WEXIT 0x02000 正在退出 P_EXEC 0x04000 进程调用了 exec P_OWEUPC 0x08000 在下一个 ast 调用时进程欠一个 addupc() 调用 P_WAITING 0x40000 进程正在进行 wait() P_KDEBUG 0x80000 此进程开启了 Kdebug 跟踪 lim通过调用 setrlimit(2) 指定的内存使用软限制。lstart显示命令开始的确切时间。nice进程调度增量参见 setpriority(2)。rss进程的实际内存驻留集大小以1024字节单位表示。start命令开始的时间。如果命令开始不到24小时会使用“%l:ps.1p”格式来显示开始时间。如果命令开始不到7天会使用“%a6.15p”格式来显示开始时间。否则会使用“%e%b%y”格式来显示开始时间。state字段给出了进程的状态信息。第一个字符表示进程的运行状态 I表示处于空闲状态休眠时间超过约20秒。 R表示可运行的进程。 S表示休眠状态休眠时间不超过约20秒。 T表示停止的进程。 U表示进程正在进行不可中断的等待。 Z表示死亡进程“僵尸”进程。 进程位于控制终端的前台进程组中。 进程已提高CPU调度优先级。 进程已指定内存需求的软限制并且当前超过该限制这样的进程不会被交换出去。 A进程请求随机页面替换例如来自vadvise(2)的VA_ANOM比如lisp(1)在进行垃圾回收时。 E进程正在尝试退出。 L进程在核心中锁定了页面例如用于原始I/O。 N进程降低了CPU调度优先级参见setpriority(2)。 S进程要求FIFO页面替换例如来自vadvise(2)的VA_SEQL比如使用虚拟存储器按顺序访问大量数据的大型图像处理程序。 s进程是会话领导者。 V进程在vfork(2)期间被挂起。 W进程已被交换出去。 X进程正在被跟踪或调试。 tt字段是控制终端的路径名的缩写如果有的话。缩写由/dev/tty后面的三个字母组成对于控制台来说是“con”。如果该进程无法访问该控制终端即已被撤销则后面会加上“-”。wchan字段指示进程等待的事件系统中的地址。当以数字形式打印时地址的前部分会被修剪掉并以十六进制打印例如0x80324000会打印为324000。acflag记账标志别名 acflg args命令及其参数 comm命令 command命令及其参数 cpu短期 CPU 使用因子用于调度 etime已运行的时间 flags进程的标志用十六进制表示别名 f gid进程的组 ID别名 group inblk总读取的块数别名 inblock jobc作业控制计数 ktrace跟踪标志 ktracep跟踪的 vnode lim内存使用限制 logname启动会话的用户登录名 lstart启动时间 majflt总页面错误 minflt总页面回收 msgrcv接收的消息总数从管道/套接字读取 msgsnd发送的消息总数写入管道/套接字 nicenice 值别名 ni nivcsw总的非自愿上下文切换 nsigs接收的信号总数别名 nsignals nswap总的换入/换出次数 nvcsw总的自愿上下文切换 nwchan等待通道作为地址 oublk总写入的块数别名 oublock p_ru资源使用情况仅对僵尸进程有效 paddr交换地址 pagein页面输入与 majflt 相同 pgid进程组号 pid进程 ID ppid父进程 ID pri调度优先级 prsnapersona re核心驻留时间以秒为单位127 无限 rgid真实组 ID rss常驻内存集大小 ruid真实用户 ID ruser用户名称来自 ruid sess会话 ID sig挂起的信号别名 pending sigmask阻塞的信号别名 blocked sl睡眠时间以秒为单位127 无限 start启动时间 state符号化的进程状态别名 stat svgid从 setgid 可执行文件中保存的 gid svuid从 setuid 可执行文件中保存的 UID tdev控制终端设备号 time累计 CPU 时间用户 系统别名 cputime tpgid控制终端进程组 ID tsess控制终端会话 ID tsiz文本大小以 K 字节为单位 tt控制终端名称两个字母缩写 tty控制终端的完整名称 ucomm用于记账的名称 uid有效用户 ID upr从系统调用返回时的调度优先级别名 usrpri user用户名称根据用户 ID utime用户 CPU 时间别名 putime vsz虚拟大小以 K 字节为单位别名 vsize wchan等待通道作为符号名称 wq工作队列线程的总数 wqb被阻塞的工作队列线程数 wqr正在运行的工作队列线程数 wql工作队列限制状态C 受限制的线程限制T 总线程限制 xstat退出或停止状态仅对停止或僵尸进程有效
选项
-A显示其他用户进程的信息包括那些没有控制终端的进程。
-a显示其他用户进程以及您自己的进程信息。这将跳过没有控制终端的进程除非同时指定了-x选项。
-C通过使用“原始”CPU计算来改变CPU百分比的计算方式该计算方式忽略“常驻”时间通常没有影响。
-c将“command”列的输出更改为仅包含可执行文件名而不是完整的命令行。
-d类似于-A但排除会话领导者。
-E同时显示环境变量。这不会反映进程启动后的环境变化。
-e与-A相同。
-f显示uid、pid、父进程pid、最近的CPU使用率、进程启动时间、控制终端、已用CPU时间以及关联的命令。如果还使用了-u选项则显示用户名而不是数字UID。当使用-o或-O在-f之后进行显示时命令字段不像其他格式那样被严重截断。
-G显示正在以指定真实组ID运行的进程的信息。
-g显示具有指定进程组领导者的进程信息。
-h根据需要重复打印信息标题以保证每页信息有一个标题。
-j打印与以下关键词相关联的信息用户、pid、ppid、pgid、sess、jobc、state、tt、time和command。
-L列出可用于-O和-o选项的关键词集。
-l显示与以下关键词相关联的信息uid、pid、ppid、flags、cpu、pri、nice、vszSZ、rss、wchan、stateS、paddrADDR、tty、time和commandCMD。
-M打印与每个任务相对应的线程。
-m按内存使用进行排序而不是按控制终端和进程ID的组合排序。
-O在默认信息显示中在进程ID之后添加与空格或逗号分隔的关键词列表相关的信息。关键词可以用等号和字符串附加。这将导致打印的标题使用指定的字符串而不是标准标题。
-o显示与空格或逗号分隔的指定关键词列表相关联的信息。也可以以多个-o选项的形式给出多个关键词。关键词可以用等号和字符串附加。这将导致打印的标题使用指定的字符串而不是标准标题。如果所有关键词的标题文本为空将不会写入标题行。
-p显示与指定进程ID匹配的进程信息。
-r按当前CPU使用率进行排序而不是按控制终端和进程ID的组合排序。
-S通过将所有退出的子进程时间累加到其父进程中改变进程时间的计算方式。
-x ps命令会列出所有与当前用户相关的进程无论是通过终端启动的还是通过其他方式启动的。常用选项组合
显示所有用户的所有进程信息(-aux)
包括进程ID、CPU使用率、内存使用率等。
ps -aux以全格式显示进程信息-ef
包括进程ID、父进程ID、用户、状态、运行时间、终端等。
ps -ef显示详细的线程信息(-eLf)
ps -eLf包括线程ID、优先级、状态、CPU使用率等。
自定义输出格式-eo
只显示进程ID、父进程ID、命令、CPU使用率和内存使用率。
ps -eo pid,ppid,cmd,%cpu,%mem显示指定进程ID的详细信息
ps -p PID -f显示指定用户的所有进程信息
ps -u USER按CPU使用率降序排列进程信息(–sort)
ps -aux --sort-%cpulsof-显示Linux系统当前已打开的所有文件列表
标题行解释 COMMAND: 这是打开文件的进程的名称。PID: 这是打开文件的进程的进程 ID。TID: 这是线程ID。这个字段只在 -K 选项列出内核线程被使用时才会显示。USER: 这是打开文件的进程的所有者的用户名。FD: 这是文件描述符它是进程用来访问文件的句柄。常见的值包括 cwd当前工作目录、txt程序文本代码和数据、err标准错误、等等。TYPE: 这是文件的类型。常见的类型包括 DIR目录、REG常规文件、CHR字符设备、BLK块设备、FIFO先进先出队列、SOCK套接字等。DEVICE: 这是设备号。对于磁盘文件这通常是设备的主设备号和次设备号。SIZE/OFF: 对于常规文件这是文件的大小。对于网络文件这是本地和远程的网络地址。NODE: 对于网络文件这是本地和远程的网络地址。对于UNIX域套接字这是套接字的i-node号。NAME: 这是打开的文件的名称。对于网络文件这是本地和远程的网络地址。
选项
-a列出打开文件存在的进程 -c进程名列出指定进程所打开的文件 -g列出GID号进程详情 -d文件号列出占用该文件号的进程 d目录列出目录下被打开的文件 D目录递归列出目录下被打开的文件 -n目录列出使用NFS的文件 -i条件列出符合条件的进程协议、:端口、 ip -p进程号列出指定进程号所打开的文件 -u列出UID号进程详情 -h显示帮助信息 -v显示版本信息
常用选项
列出指定进程号所打开的文件
lsof -p 636获取端口对应的进程
lsof -i:8082列出目录下被打开的文件和对应进程
lsof /elkeid/mongodbtop-查看部分进程并排序
动态实时显示进程信息
标题行解释
PID (Process ID): 进程的唯一标识符用于区分不同的进程。USER: 启动进程的用户。PR (Priority): 进程的调度优先级。NI (Nice value): 进程的优先级负值表示更高的优先级正值表示更低的优先级。VIRT (Virtual Image): 进程占用的虚拟内存大小包括代码、数据和共享库等。RES (Resident Size): 进程实际使用的物理内存大小非交换内存。SHR (Shared Memory): 进程使用的共享内存大小。S (Status): 进程的状态包括运行态 ®、睡眠态 (S)、僵死态 (Z) 等。%CPU: 进程的 CPU 使用率。%MEM: 进程的内存使用率。TIME: 进程占用 CPU 时间的累计值。COMMAND: 启动进程的命令名称及参数。
选项
-d, --delay: 指定刷新时间间隔单位为秒。
-n, --iterations: 指定刷新次数后退出 top。
-b, --batch: 使用批处理模式运行 top适用于将输出传递给其他程序。
-c, --command: 显示完整的命令行。
-u, --user: 显示指定用户的进程信息。
-p, --pid: 显示指定进程 ID 的信息。
-H, --threads: 显示线程信息。
-i, --ignore-case: 在排序时忽略大小写。
-o, --old-style: 启用旧风格的输出格式。
-C, --no-command: 隐藏命令名称和参数。
-w, --width: 指定输出宽度。
-P, --sort-field: 按指定字段排序如 %CPU、%MEM。
常用选项
显示完整命令行
top -ckill-杀死进程
-s sig 信号名称。 -n sig 信号名称对应的数字。 -l 列出信号名称。如果在该选项后提供了数字那么假设它是信号名称对应的数字。 -L 等价于-l选项。 使用9SIGKILL杀死进程
kill -9 30634strace-监控进程
选项
-c 统计每一系统调用的所执行的时间,次数和出错的次数等. -d 输出strace关于标准错误的调试信息. -f 跟踪由fork调用所产生的子进程. -ff 如果提供-o filename,则所有进程的跟踪结果输出到相应的filename.pid中,pid是各进程的进程号. -F 尝试跟踪vfork调用.在-f时,vfork不被跟踪. -h 输出简要的帮助信息. -i 输出系统调用的入口指针. -q 禁止输出关于脱离的消息. -r 打印出相对时间关于,每一个系统调用. -t 在输出中的每一行前加上时间信息. -tt 在输出中的每一行前加上时间信息,微秒级. -ttt 微秒级输出,以秒了表示时间. -T 显示每一调用所耗的时间. -v 输出所有的系统调用.一些调用关于环境变量,状态,输入输出等调用由于使用频繁,默认不输出. -V 输出strace的版本信息. -x 以十六进制形式输出非标准字符串 -xx 所有字符串以十六进制形式输出. -a column 设置返回值的输出位置.默认 为40. -e expr 指定一个表达式,用来控制如何跟踪.格式[qualifier][!]value1[,value2]… qualifier只能是 trace,abbrev,verbose,raw,signal,read,write其中之一.value是用来限定的符号或数字.默认的 qualifier是 trace.感叹号是否定符号.例如:-eopen等价于 -e traceopen,表示只跟踪open调用.而-etrace!open 表示跟踪除了open以外的其他调用.有两个特殊的符号 all 和 none. 注意有些shell使用!来执行历史记录里的命令,所以要使用\. -e traceset 只跟踪指定的系统 调用.例如:-e traceopen,close,rean,write表示只跟踪这四个系统调用.默认的为setall. -e tracefile 只跟踪有关文件操作的系统调用. -e traceprocess 只跟踪有关进程控制的系统调用. -e tracenetwork 跟踪与网络有关的所有系统调用. -e stracesignal 跟踪所有与系统信号有关的 系统调用 -e traceipc 跟踪所有与进程通讯有关的系统调用 -e abbrevset 设定strace输出的系统调用的结果集.-v 等与 abbrevnone.默认为abbrevall. -e rawset 将指定的系统调用的参数以十六进制显示. -e signalset 指定跟踪的系统信号.默认为all.如 signal!SIGIO(或者signal!io),表示不跟踪SIGIO信号. -e readset 输出从指定文件中读出 的数据.例如: -e read3,5 -e writeset 输出写入到指定文件中的数据. -o filename 将strace的输出写入文件filename -p pid 跟踪指定的进程pid. -s strsize 指定输出的字符串的最大长度.默认为32.文件名一直全部输出. -u username 以username的UID和GID执行被跟踪的命令
常用选项
统计系统调用
strace -c ./testtest.c
#include stdio.hint main()
{int a;scanf(%d, a);printf(%09d\n, a);return 0;
}跟踪进程
strace -p 4776fuser-使用文件或文件结构识别进程
-a显示命令行中指定的所有文件 -k杀死访问指定文件的所有进程 -i杀死进程前需要用户进行确认 -l列出所有已知信号名 -m指定一个被加载的文件系统或一个被加载的块设备 -n选择不同的名称空间 -u在每个进程后显示所属的用户名。
查看文件进程
fuser /usr/bin/python查看所属的用户
fuser -u /usr/bin/pythonsu
切换到指定用户没有时默认为root
选项
-m, -p, --preserve-environment: 不重置环境变量 -g, --group : 指定主要组 -G, --supp-group : 指定附加组 -, -l, --login: 将 shell 设置为登录 shell -c, --command : 使用 -c 将单个命令传递给 shell –session-command : 使用 -c 将单个命令传递给 shell并且不创建新会话 -f, --fast: 对于 csh 或 tcsh传递 -f 给 shell -s, --shell : 如果 /etc/shells 允许使用指定的 shell 运行 -h, --help: 显示帮助信息并退出 -V, --version: 输出版本信息并退出
常用选项
su - 用户名这样可以直接切换到该用户家目录
sudo
选项
-A, --askpass: 使用辅助程序提示输入密码 -b, --background: 在后台运行命令 -C, --close-fromnum: 关闭所有文件描述符 num -E, --preserve-env: 运行命令时保留用户环境 –preserve-envlist: 保留特定的环境变量 -e, --edit: 编辑文件而不是运行命令 -g, --groupgroup: 以指定的组名或组ID运行命令 -H, --set-home: 将 HOME 变量设置为目标用户的主目录 -h, --help: 显示帮助信息并退出 -h, --hosthost: 在主机上运行命令如果插件支持 -i, --login: 以目标用户的登录 shell 运行也可以指定一个命令 -K, --remove-timestamp: 完全移除时间戳文件 -k, --reset-timestamp: 使时间戳文件失效 -l, --list: 列出用户的权限或检查特定命令使用两次以获取更长的格式 -n, --non-interactive: 非交互模式不会提示输入 -P, --preserve-groups: 保持组向量而不是设置为目标用户的组 -p, --promptprompt: 使用指定的密码提示 -r, --rolerole: 使用指定角色创建 SELinux 安全上下文 -S, --stdin: 从标准输入读取密码 -s, --shell: 以目标用户的 shell 运行也可以指定一个命令 -t, --typetype: 使用指定类型创建 SELinux 安全上下文 -T, --command-timeouttimeout: 在指定的时间限制后终止命令 -U, --other-useruser: 在列表模式下显示用户的权限 -u, --useruser: 以指定的用户名或用户ID运行命令或编辑文件 -V, --version: 显示版本信息并退出 -v, --validate: 更新用户的时间戳而不运行命令 –: 停止处理命令行参数
常用选项
后面接命令以root权限运行
以root用户交互式执行
sudo -i更多命令学习 应急响应-主机安全之文件相关命令Linux操作系统
参考
《网络安全应急响应技术实战指南》
