Linux命令在网络安全防御中的关键应用

作为IT工程师，掌握Linux命令对于构建有效的网络安全防御体系至关重要。以下是一些关键Linux命令及其在网络安全防御中的应用：

1. 网络监控与分析

netstat - 网络连接监控

netstat -tulnp  # 查看所有监听端口及对应进程
netstat -anp    # 查看所有活跃连接

ss - 更现代的套接字统计工具

ss -tulnp       # 类似netstat但更高效
ss -s           # 显示套接字使用统计

tcpdump - 网络流量抓包分析

tcpdump -i eth0 port 80 -w capture.pcap  # 捕获HTTP流量
tcpdump -n 'tcp[tcpflags] & (tcp-syn) != 0'  # 检测SYN扫描

2. 系统安全审计

lsof - 查看打开的文件和网络连接

lsof -i :22      # 查看谁在使用SSH端口
lsof -u root     # 查看root用户打开的文件

auditd - 系统审计框架

auditctl -l      # 列出当前审计规则
ausearch -k login_attempts # 搜索登录尝试审计记录

3. 入侵检测与响应

ps - 进程监控

ps aux --sort=-%cpu  # 按CPU使用排序进程
ps -ef | grep suspicious_process  # 查找可疑进程

top/htop - 实时系统监控

top -c          # 显示完整命令路径
htop            # 更友好的交互式监控(需安装)

chkrootkit/rkhunter - rootkit检测

chkrootkit      # 扫描常见rootkit
rkhunter --checkall  # 更全面的rootkit扫描

4. 防火墙与访问控制

iptables/nftables - 防火墙配置

iptables -L -n -v  # 列出当前规则
iptables -A INPUT -p tcp --dport 22 -j DROP  # 阻止SSH访问

ufw - 简化的防火墙管理

ufw enable      # 启用防火墙
ufw allow 22/tcp  # 允许SSH访问

5. 日志分析

grep - 日志过滤

grep "Failed password" /var/log/auth.log  # 查找失败登录
grep -i "error" /var/log/syslog           # 查找系统错误

journalctl - systemd日志查询

journalctl -u sshd --since "1 hour ago"  # 查看SSH服务日志
journalctl -p err -b  # 查看本次启动的错误日志

6. 文件完整性检查

find - 查找异常文件

find / -type f -perm -4000 -ls  # 查找SUID文件
find / -mtime -1 -ls            # 查找24小时内修改的文件

md5sum/sha256sum - 文件校验

md5sum /bin/ls > checksums.txt  # 创建校验和
md5sum -c checksums.txt         # 验证文件完整性

7. 用户与权限管理

last - 登录历史

last -a          # 显示所有登录记录
lastb            # 显示失败登录尝试

passwd - 密码策略

passwd -l username  # 锁定用户账户
passwd -S username  # 查看密码状态

通过熟练运用这些Linux命令，IT工程师可以构建多层次的防御体系，有效检测和应对各类网络攻击。记住，安全是一个持续的过程，需要定期审计和更新防御策略。