电脑主要操作系统安全检查常用操作及检查命令.docx

电脑主要操作系统安全检查常用操作及检查命令1Aix系统检查常用操作AIXM*检土方法/左令用途errpt-dH检查系蛇硬件报密三志errpt用途生成一个记录下来的错误的报表语法处理从错误日志得来的琅件错俣日志报表errpt-dH处理从牯设日志得来的软件格供日志报表errpt-dSerrpt-dS检登系疑软件报错E1.志Mai1.viusrspoo1.nni1.root查看系统安全日志mai1：用途发送和接收即件语法读取新来的即件mai1.-eVitrtphac(.out<HACMPVisnit.1.og£#Smit日志a1.og-tboot-o登看系掩引导日志a1.og用途创建弁维护钊线目标准输入的固定大小的日志文件语法标识在a1.og配笠数据库中定义的日志a1.og-I1.ogTypc-Vdf-k登有文件系统空向使用情况df用途报告文件系统上的空向信息语法以1024字节块为单位显示文件系统上的空间统计fS；息df-k对每个侵复的卷S1.使用命令:1SVg-1<VG名>查看系统镜象同步情见Isvg用途显示关于卷烟的信息.Isvg命令显示关于卷组的信息,如果使用Vo1.umeGroup泰效，只显示那个卷组的信息，如果不使用Vo1.unieGroup扬他,显示所有巳定义的卷沮名列表.当来自“设备配置”数据库的情息不可用时,某些字段将会包含一个问号(?)替代丢失的数据。当对母今蛤出一小茨梅卷标识时，Isvg今令试图从拓逑区域次禅尽可能多的信息。语法Isvg-1<VG名>列出由Vo1.uneGroup冬敷指定的俎内的每个逻辑卷的以下信愿：1.V卷组内的一个以辑卷TyPe逻辑卷类型1.Ps逻辑卷中的设楫分区数PPs量辑卷使用的物理分区数PVs逻辑卷使用的物理卷数1.ogica1.vohn>estate漫情卷的状态.OpenedZsta1.e或示茂辑卷是打开的但包含的分区不是目前的。OpencdZsyncd表示逻辑卷是打开和同步的.C1.osed表示送料卷迁没有打开.Mountpointi5辑卷的文件系统安装点(如果适用Isps-a查看内存交换区使用率Isps用途显示调页空间的特征语法Isps(-SI-CI-1-aI-tIvInfsIPagingSpace描述Isps命令显示调兖空河的特征。Isps命令显示如诩页空间名称.物理卷名南:、卷娘名称、大小、使用调页空低百分比、空问是活动的还是聿活动的以及调更空间是否设置为自动等特¾E.PaginxSpace参数指定要显示籽征的调页空珂.-a指定要给出的所有调页空间的转征.大小以兆字节计。Toj>as表料系统性能topas用途报告所造本地系统的统计信息描述topas命令报fr选定的本地系统活动的疑计信息.该命令使用curses率以合适的格式来星示代棺出.该珞式适合于在一个80x25基于字符的显示器上或至少同样大小的图形显示募的由口中进行兖看。（H>as命令界要在系统中安装perfagent.too1.s文件集O检查巳有备份为或执行1Smksysb-B查看系统数据备份IsnAcsysb用途列出或恢曳备份在指定介质上的卷组内容描述Isnksysb命令列出来自被存、文件、CDROM或其它源上的卷组备份的内容，也可以用来从有效各份源怏复文件。Isnksysb命令也用于如多个CD.DYD或碳帝的多卷备份.Isnksysb-B打印卷娘备份日志至标准侑出.谏标志显示以往的256个各份（粗略地）。该日志是a1.og格式的.保存在varad三,rasVgbackup1.og中.日志警行由分号阕开的文件或设备名列表组成.该命令用于谖置备份.日期、收靖大小'备份的总大小以及?<也雉妒包（如果有的话）。Isdev-CIgrepent求看网卡状态Isdev用途显示系统中的设备及其特征，描ifISdeV命令显示设各配置的据率中设各的有关信息使用-C好志可以显示定制设备对象类中所有设备的有关信息.系统显示与以下类似的消息：en可用10-80存准以大网网络接口et己定义10-80IEEE802.3以大网网络接口grep命令用途搜求文件中的模式描述grep命令用于优索由Pattern参数指定的模式,并将每个匹配的行写入标准统出中。Ipconfig-a查看网络IP地址ifconfig用也配置或显.示TCP/IP网烙的网塔接口参数描述可以使Mifconfig命令指定网络接口地址，井配置或显示当前网络接D配置信息。Ifconfig-a显示系统中所有接口信息Netstat-rn查看系统路由netstat用途显示网络状态-n以数字显示网络地址。切该好志未指定，nets1.at命令将醉铎可能的地址弁象任性地显示它们，可以在任意显示塔式下使用该标志。T显示路由表Ping网卡-地址检测网卡速讯Ping用途发送一个回送信号请求给网络主机描述usrsbinping命令发送一个因朴网控制1文协i(ICMP)ECHOREQCEST去从主机或网关那里荻得ICMPECHO.RESPONSE信号OPing命令用于：确定网络和备外部主机的状烝跟踪和隔离硬件和软件问黑赛试'评估和管理网络VietchostsetchostsPing<外部主机名Ping<DNS解析的外部地址张看DNS设置SySdUrpdev-1eMJMP£1E1.feS接管测试SySdUnPdeV用途更改运行中系统的主暮或辅助转潴设器的指定描述Sysduapdev命令更改运行中系院的主要或巡助转括设备的指泥，主要和辅助转僦设备在一个系统配置射象中指定。新的设备指定直到SySdUrKx1.Cv命令重新运行或系统重新启动时才有效.SySdUUPdeV-1列出主要和辅助转稣设备.复制目录和forcecopy属性的当前值.Vietcenviro11BentIsdev-CcProCQSsor确认可用的物理CPU航量会看CPU信息bindprocessorbin(Jrocessor-q磁认可以ft用的CP1.JS*用途将进程的内核发症绑定至处聚器或取消窗定至处理器描更bindprocessor合令绑定或艰消绑定进程的内核鼓程，或列出可用的处理器，ProCeSS参数是将婺绑定或取消蚪定f程的进桎的进程标识，ProcessorNuii参敛是要使用的处承器的绑定CPU标识.如果ProcessorNum叁数被省略.即进程被用定至破港连择的处理器.bindprocessor命令的-q标志列出可用的绑定CPU标识：可以修整定的逻辑号用作ProcessorNuii孝致的值Isattr-E1.men费看内存信息Isattr用途显示系统中设品的属性特征和可能的属性值描述Isattr今东显示关于给定位品或设各类空的属性信息语法-E显示有效值（只对于用-1始志指定的定制设备才电效-1NaBe指定定制设备对象关中要显示其同性名你或值的设各建辑名Ispv交百硬盘信息Isdev-Crepent查看网卡信息Isdev-Cctape查看墟音机信愿Isdev-C1.grepfcs堂看光纤卡信息Instfix-igrepM1.查看OS补丁级别信息Instfix用选安发。关钺字或修正相关的文件集描逑instfix命令允许安装一个或一套补丁而不用知道任何信息.除T好识谖补丁的“授权程序分析报告”(RPAR)号或其它唯一关键字.语法-i显示是安装了补丁还是关馍字.用-k或者-f标志来调用这个茅志。当使厄-i标志时不应会试安装。如果没有指定-k或者f标志，就会显示所有已知的补丁.ISCfg-vpgrep-p44Systemfi1111ware”Iscfg-vpgrep-p44P1.atfornFinnwareo查看微码信息Iscfg用途显示系统的配置信息.诊断信息和更要产吊敷据(VPD)信息.椎逑如果运行Iscfg命令时不带任何芽志,它就会显示当前定制VPD对象类中找到的每个设备的名将、住黄和描逑，该VPD对象灵是SySo对象的子设各.-P显示杼定于不台的设备信息.该标志仅仅适用于A1.X4.2.1或更新版本。显示定制VPD财家类中找到的VPD.PI样的，与-p标志一起使用时,Sr以显示AIX-V4.2.1或更新板本上特定于平台的VPD42HP/UX系统检查常用操作检查令或方法令用途帝令解科UnaBe-a查看系统ID号,OS版本及用户权限等信息unaae用途查谕掾作票统版本和1.icensehostnaoe我总主机名称bostnoM用途设置或显示当前主机系统的名称假要hostna>enaoe_ofhost说明h。StnaI1.e命令用于显示当前主机的名柞，与gethostname0系统调用结果相同(请Wgethostna(2),拥有相应权泯的用户可通过指定#数naee_of_ho$t来设置主机名；通常在启动脚本sbininit.d/hostname中完成比操作.nameof_host参数半机为Maxhostn1Wie1.en个字符.如<sysparam.h>中所定义.如果支挎网络产品，R1.可能使用其他名称识别系统,请参例旗系统附带的节点管理骞文档资料.BstaZioscanFCProCOSSor登看CPV佶息BstmZdaesg登看内存信息ioscanmfnCdiak交价硬盘信息ioscan扫描1/0系统说明i。SCan根据希耍扫描系统硬件、可用的I/O系统设备或内核I/O系统数据结构，并列出结果，对于系统中的每个硬件模块.ioscan缺备情况下显示爰件模块的硬件路径、硬件旗块的类以及自要说明。ioscan-nf（注左/否Unc1.aiBedtunknown,NOJW状态）查看各1/0卡及设备的所有相关信息Ianscan我看网卡状态及网络配置信息Ianscan显示局域网设各的配置和状态慨要Ianscan-aiImnpqv说明Ianscan显示有关系统上具石软件支持的每个局域网设备的下列信息：硬骨为径.物理地址.卡实例号.硬件状态、网络隹口.网烙管理IDjMC类S1.支持HPD1.PD1.P1.主设备编号，需要趣过18位的那些推n的护展工作站地址、网络接口支挎的封蓑方法。IfconfigIanX较认网烙地址ifconfig-爸置网络接口与罚说明ifconfig命令的第一种形式为网烙接口分配地址并（或）配置网络接口参数.在主控台上，避入令提示将CM,.在C1.Dsysrev查看PDC固件版本号在主控台上，进入今IUMfai,在C1.Osysrev丧看GPS固件版本号dbesg先看信息缓存dmes-收集系统诊断消息以构成错误日志板要usrsbind三esg-Jcoresyste三说明dmesg在系统媛冲区中查找最近输出的诊断消,并在标准输出上输出它们。IVIDboOt点看建转卷启动配置Iv1.nboot-准备1.vM逻辑卷,使其成为根卷、引导卷、主交换卷或转精卷.说明Iv1.nboot令今可更貂卷组中的所有物理卷,以便系统下一次引导的.该卷组上的逻辑卷成为根卷、引导卷、主交换卷或转储卷.如果指定了不存在的遗辑卷，该命令将失败。如果已经有另外的近辑卷链接到根或主交换,该命令将失丸朱岐：-V檎出详细消息.如果没有井他参数，则输出有关根卷.引导卷、交换生和转储逻辑卷的信息。如果配置了根-引导组合卷.则不会显示引导卷的信息。Vgdisp1.ay查看卷组(VG)配置Vgdisp1.ay-显示有关1.VX卷组的信息慨要usrsbinvgdis1.ay-F(v)vgname说明Vgdisp1.ay命令显示有关卷俎的信息.时于所指定的每个vg_name.Vgdisp1.ay仅显示该卷组的信息.如果未指定Vgname,则VEdiSPIay显示所育已定义卷显的名掷和对应的信息.Ivdisp1.ay在看遗辑卷大小、属性和状态.Ivdisp1.ay-显示有关1.VM遗辑卷的信息概要usrsbin1.vdis1.ay-F-k-vIvpath.说明Ivdisp1.ay命令显示1.v_path指定的每个逻辑期的特性和状态。pvdisp1.ayrdevdskctd查看磁盘分种信息，如整盘大小,包含的遗辑卷，设备名称等Pvdisp1.iiy-显示有关1.VM卷俎中物理卷的信息概要usrsbinpvdis1.ay-v(-d-bB1.ock1.istpvpathusrsbinpvdis1.ay-1PjPaIhusrsbinpvdisp1.ay-F-d-vpv_path.pvdisp1.ay命令显示有关由pv_pa1.h参数指定的每个物理卷的信息。语法：-V对于每个物理卷，显示在该物理卷上分配的盘区的透辑卷以及所有物理盘区的使用情况。svtinfo-ate受步系统缓冲区信息Suapinfo-系统分页空间悟息桩荽usrsbin/swapinfomtadfnrMqws说明SWaPinfo输出有关设备和文件系统分页空间的信息。swapinfo迁输出有关下一次引导的主分页设各的信息.bdf查看巳.加截的迈舞卷及其大小信息bdf-报告可用碳宜块的数目（BerkC1.Cy板）梗要usrbinbdf-b-i-1-s-ttypefi1.esystemfi1.e.说明bdf命令显示指定fi1.esystem（例如dcvdskcds）上或包含指定fi1.e（例如$1K）ME的文件系统上的可用超#空间I1.如果未指定文件系统，则将输出通常挂接的所有文件系统上的可用空间。裁告的触目以千字节为单位。crtab1查看定时作业oreetcrc.1.og委看系统启动日志ore/var/mta/sys1.og/sys1.og.1.og在看系统运行日志M>reetcZshutdvn1.og查看系统shutdownH志vara<WswSTagent1.og查看软件受更日志Morevarad三crash查4系统有无CoreDumpcavievc1.-v在看集群的运行状态3So1.aris系统检查常用操作检查令或方法令用途>*dMsggreperrdM8ggrepVar登看软硬件报钳d»esg命令用实例名和物理名来好识述到系境上的设备。d11es命令由显示系统诊新信息、接作系统版本号、物理内存的大小以及其他信息.Mai1.查看系统mai】有无硬件报错信息cdvaradagreperrMssagesgrepwarMssagest查看系统报错信息df-k登看文件系姣空间使用按Kbytes显示可用硬衣空间的忠曼和已用的硬叠空间Svap-1登看内存交换区使用率Vutat查看系统性能u8tp1.atfon'UnaM"/sbixrtdiagr查看网卡状态Ipconfig-a查看IP地址tcdfau1.troutr文件充看路由信息ping网卡Tfct>查看网卡螭讯情况vietcinethots½etcinethostsPine外部主机名duapdafDUMPRXp-ef查看有无僵尸进程cut-n-定节点状态scstat-P,定，集报件状态SS1.1.NC1.US1.er3运行状态u8rp1.atfora'unase"Vsbin/prtdiagr查看硬件运行状态iostatHEn检交硬童状态UnaBe-a查看OS补丁圾别urp1.atfon'unaae-B/sbinrtdia<rgrepOBP查看微码级别4Windows系统检查常用操作枪左方法/检衣小枪衣目标备注«?1步：点击开始管理工具”英特网信息机芬（HS）首理.第2步：右击FTP位置），并选择属性.第3步：选择安全贼户标卷.第4步：确认允许国名连接看未被选中.检登屋名FTP登学被武制a.如果使用ACtiVeDirectory：第1步：按一下（开始）"（管理工具）»ActiveDirectory用户和计算机。第2步：突出（用户文件夹，确认访客账户已被停用一个红色的X会出现在用户的图好上）.第3步：在同一屏幕上确认默认管理员账户被停用，创提了一个新的管理员账户并使用了一个强密吗，b.如果没Jfr使用ACtiVeDirectory:第1步：按一下f开始）“（管理工具】"（计算机管理.如果评估域账户,通过动作菜单的遂接到另一台计算机.J选项.连接该域内的任何其他计算机。第2步：展开【系统工具w【本地用户和组）节点.第3步：突出（用户文件夹，确认访客账户巳被停用.如果它被集用.一个红色的X应该会出现在用户的图标.第4步：在同一屏基上礴认默认管理员账户帔停用,创成了一个新的管理员账户并使用了一个强密礴.检查默认账户是否已停用笫1步：按一下（开始）“（控制面板）”（装统）.V2步：按一下【计算机名标卷.箭3岁：院认及有城会被列在域标卷中.可以接受机器K于一个工作也，而不是一个城.检至应用即.务考（SQ1.IIS售）不被用作域控制器和机多器第1步：按一下（开始”（f）”并侑入，regedt32，进入在道表漏辑器（Regedt32.exe）,第2步：找到以下注册我项：HKEY_1.0CA1.J4ACHINEsystemCurrentContro1.Setcontro1.SecurePipeServersWinreg,第3步：右击Winreg.然后单击I权限.。第4步：破灾只行管理员可以访问并更新注初表表。检查访问注册表权限第1步：按一下（开始”（管理工具”（ZtctiveDirectory域和信任。俎2步：展开根目录，然后右击城.第3步：从显示的菜单上选择属糙.检查Windows2003信任关系第4步：选择信任J选项卡。«5步：检受佶任关系,并晡定已建立的信任关泵是必复的且支持域模或.第1步：按一下【开始）”【管理工具）”（计算机管理）°第2步：展开【存储J”（磁盘管理J。第3步：潴认文件系垸的每个分区是否设置为NTFS.检查KTFS文件系统的使用第1步：按一下开的“I管理工具）“I本她（M）安全策略1.第2步：选择安全设置）-（本地策略）-”安全选项）.第3步：双击安全选项标记Mier。SOftnetworkserver：Amountofid1.etimerequiredbeforesuspendingsession,检证安全性设定值.建汉值为锁定后60分钟将贬号钺定.检察系统登录会话超时设置第1.步：按一下【开妁”I管理工具）”I本地（域安全维略兀第2步：选择安全设置）（账户策畤1.选择【定可策略）.第3步：性登格码组成，确保【由码必家常合复杂性要求）巳启用.«4步：检叠景小帘码长度.确保最小密码长度J是根据策略要求设置。珑政值为6或更高。«5步：也登密码更改频率，确保【最大密码有效期）是根据策5要求设置.健设值为90天或更少.第6步：检有密码历史.确保【专制密码历史）是根据策略要求设t.现议值是防止重复使用的密国至少一年。第？步：检查不成功您录尝试后贬户自动钺定，确认【账户钺定阈值）巳谀置。理议值为3和S之间.这个值可能会有所不同，但如值高于5,应该和管理员讨论。确认更设账户钺定计数器后1设定，建仪值为60分钟.确认账户锁定时间设置为0.检费密码策略和账户缺足策略第1步：按一下【开始1“管理工具）”计算机管理1。第2步：展开【系统工具“本地用户和组广。第3步：突出【用户1文件夹.第4步：双击一个没有春录的新创建的用户，以查看用户属性，在常规选项卡上,确保用户下次登录时必须更改密码）已谀定。性查用户首次登录后能够改爻密玛第1步：按一下【开始1'、管理工具”【ActiveDireCtOry用户和计算机.第2步：突出组文件夹.双击每个具有特权的用户组（如管理员组或p。Wer用户限）,并确认沮内的用户是否合适.应注意是否存在如下现象：过多的用户;-包含通用家户名：-将其信俎作分营理员组成员之一.b.如果ACtiVeDirectory未诙用：第1步：按一下开始“（管理工具）”计算机管理。如果评估域账户,通过【诂作1菜单的整接到另一台计算机.选项，连接该域内的任何其他计算机.也查对特权IT功能的访问权外第2步：展开系统工具）s水池用户和短）节点，并突出（蛆）文件夹中。第3步：突出【组】文件夹,双击每个具有特权的用户组（如管理员组或PoMer用户组）,并班认组内的用户是否合适.应注意是否存在如下现象：-过多的用户;-包含通用聚户名：-将其他组作为省理员俎成员之一。第1步：在被检杳方的协助下，确定重要的生产数据目录，是否在服务信上存在任何修改数据的脚本或功能。第2步：对第1步中确定的效据目录,逋过执行以下命令.茨取系统产生的具有更新重要生产数据目录或文件的用户列表：按一下I开始】”【所有程序1“【附件】”Windows资遢管理器。在资源管理器中右舌待查的系统/程序又件，然后选择属Ii.按一下安全标卷，荻IK具有访问权限的用户或用户蛆，第3步：审查具有访问重要生产数据的目录和文件,其他任何数据修改脚本/功能的权限是否合理.访问权!艮应仅!艮于那些工作职费所带的用户.在第2步中获得的安分访问枕限包活用户或用户生。当在安全访问权限中存在用户组且该组具有更新权限,我们迂济要审查限中用户的适当性.此外，立说指出的是.“everyone”组通常包含所有城内的用户.“everyone”俎不应该有更新存取教描文件或程序的权限.要先取组内用户列表：a：如果使用ActiveDirectory: 按一下开始）“管理工具J”（ActiveDirectory用户和计算机. 突出级：文件夹，双击每个鼠获得组成员名单.b.如果未使用ACtiyeDirectory： 按一下开始，管理工具”计算机管理. 如果评估域账户.通it动作菜单的集接到另一台计算机.选项,连接该域内的任何其他计算机。 展开【系统工具】”【本地用户和俎】节点，并突出烟文件夹中。 双击每组荻得小限成员名单。第4步：如果使用了访问控知软件，确定为该软件进行了配置，将更新数抠目录和文件的权限仅限于工作职责所需的用户.检查对数据和数据脩改功能的访问权限第1步：通过执行下列操作打开ACtiVeDtreCCory用户管理：I开始）”【管理工具）”（ActiveDireCtory用户和计算机1获辨监府总员的名单，并稔保所有的账户皆设定了到期日期。第2步：突出用户文件夹井双击对用户进行修改。第3步：选择（米户）标差，端认样本用户的截止日期是适当的。第1步：系统审计叁数设置 按一下开始”管理工具）”本地（域）安全策略。 标明【安全设置1”本地策略J”【审核策略）。 右面板中显示当前机母设定的各级审计等级，建议的设置如下：审计账户登很事件-成功与失败；审计账户管理-成功与失败；审计目录俄分访问-失败；审计瞥录事件-成功与失效；审计对象访问-失败；审计政策变益-戌功与失效；审计野权使用-夫Jft;审计过程跟踪-无；审计系统事件-失败.第2步：-关键文件审核谀置 按一下开始”所有程序1"附件sWindows费源管理器I. 选择在K1.ndoWS资源管理器审核的文件。 右击费源管理器中的文件进行审登.选择属性.煨后点击安全标签. 单击存级），然后按一下审计）标筌. 瑜认在（审计项目已输入审计。第3步：嘀定定期对审计事件进行监测.也强对用户访问的抽控第1步：获得在检查期何创建或修改的Windows2003用户账户列表。按一F1.开始)*运行)"cmd指令，以次班命令提示符(cmd.exe)使用1.D1.FDE命令来提取用户名(SAMAccountName),账户名称(CN)和创建日期(Whencreated>,输入下列命令：Idifde-fexport.txt-s<DomainContro1.1.eo-rr(&(ObjectC1.ass=User)(whencreated>=20070101000000.0Z>)*,-1,SAf-IAccountNamecn,whencreated"检查新用户设立注：（DomainContro1.Ier应为域控制器的名称.ff1."-stsrsdo11ain"没有双引号.创建日期的时间格式为是YYMMDDHHMNSS.OZ,字号代未如下：年份（YY、月（MM）.天（DD）、小时（HH）,分钟（MM）和秒（SS）.并以OZ结束.如果时间细节可忽略.使用O埴耳。日期应谀置为第一次的审计期间.例如20070101000000.OZ表示所有账户的创建是2007年1月1日或之后。第2步：选择一个合适的样本,并确定对新用户的授权是否有适当的批准,并且用户的访问权】艮是与用户的工作联黄以及新用户申请表一致的.第1步：如果被检登方有一个定期的用户审阅流程.荻得定1审定报告并选择适当的样本,以确定用户访问权限巳被适当变迂.第2步：如果被检查方没有一个有效的定期.用户审阅流程：-获取检查期间的高职人员名单.并确定它是完整的.选择一个合适的样本，井琏定是否系抚权限得到了及时的制除或停用。-荻取检衣期何的用户转自人员名单，并确定它是完整的.确定用户的访问权艰是基于他/她的工作职责.并且生/她以前的系统访问权/已被删除或停用.注意：未使用的厥户可以通过“最后登录时间”来识别.这个值代表用户的最近整录时何.另外,为每个选定用户样本,执行下面的命令：'netuserUsername,并粉查,1.ast1.ogon,以礴定哪些用户最近没有登录到域.检杳用户的定期审阅流程