学习一个陌生系统的命令

您登录到一个陌生的UNIX或Linux系统（以root用户身份）。您会运行哪些命令来确定自己的方向并弄清楚自己所使用的系统是哪种？您如何确定正在使用哪种类型的硬件，正在运行哪种类型的操作系统以及有关权限和安全性的当前情况？

您键入的第一条命令和第二条命令是什么？

一个两用的问题！软件考古学家或邪恶的黑客都可以使用该问题的答案！现在，我是哪个？

我总是习惯使用ps -efvs ps -augxww来找出我在做什么。对于BSD和旧的SunOS计算机，Linux和System V盒倾向于“ -ef”和“ -augxww”错误，反之亦然。的输出ps也会让您知道很多。

如果您可以以root用户身份登录，并且它是一台Linux计算机，则应该执行- lsusb并且lspci，这将使您80％地了解硬件状况。dmesg | more可以帮助您了解几乎所有问题。

它开始被逐步淘汰，但是这样做ifconfig -a通常可以告诉您很多有关网络接口和网络的信息。运行mii-tool和/或ethtool在ifconfig输出中看到的类似于电缆以太网的接口上也可以提供一些信息。

Runnin ip route或netstat -r可以提供有关Internet协议路由的信息，也可以提供有关正在使用的网络接口的信息。

一个mount调用可以告诉你的磁盘（S）和他们是如何安装。

运行uptime，然后last | more可以告诉您有关当前维护状态的信息。隐喻地说，正常运行时间超过100天可能意味着“是时候更换机油和液体了”。跑步who也是

查看/etc/resolv.conf并/etc/hosts可以告诉您有关该计算机的DNS设置。也许要做nslookup google.com或dig bing.com看看DNS是否主要起作用。

始终值得观察哪些错误（“未找到命令”）和命令的哪些变体（“ ps -ef”与“ ps augxww”）一起工作，以确定最终导致的Unix，Linux或BSD变体。

C编译器的存在与否以及它的存在位置很重要。做的which cc或更好的，which -a cc找到他们。

cat /etc/*release* 是一个很好的命令，用于概述正在运行的发行版。

http://bhami.com/rosetta.html可能很方便查看，否则我通常会在下面/etc（帐户，初始化内容，操作系统风格的提示等）四处浏览，crontab -l并在ps列表中查找需要学习的东西。

同样，“以root用户身份”也非常令人恐惧，因为我必须修复在Linux管理员进行此类调查时将所有Solaris主机名都设置为的系统-f。

这df也是一个危险的命令，是阻止阻塞I / O的好方法。因此，除非您至少已研究过坐骑或知道可以以某种方式打开另一个会话，否则请不要运行它。

使用很简单的命令（uname，cd /etc; ls，cat，$PAGER），直到你找出主机是什么，如果你不熟悉它，检查罗塞塔或承担一些命令或标志的命令之前，请务必阅读man page做什么它做对更流行的系统。

dmidecode并且lspci通常会让您对系统上运行的硬件有一个很好的了解。如果这是一台服务器，那么通常运行netstat -tlpn将放弃该服务器的用途。df -hP是检查系统上当前存储的好命令。lsb_release -a应该让您知道您正在发行的发行版：

[root@vle02 ~]# lsb_release -a
LSB Version:    :base-4.0-amd64:base-4.0-noarch:core-4.0-amd64:core-4.0-noarch:graphics-4.0-amd64:graphics-4.0-noarch:printing-4.0-amd64:printing-4.0-noarch
Distributor ID: RedHatEnterpriseServer
Description:    Red Hat Enterprise Linux Server release 6.7 (Santiago)
Release:        6.7
Codename:       Santiago

运行last应该让您知道谁在使用该系统。假设您已经合法访问了该服务器，通常您可以向登录该服务器的人员之一询问有关该服务器的更多信息。

对于供应商中立的安全性检查：通常，防火墙通常具有唯一的配置数据，因此运行a iptables -nvL很有用。您还应该检查发行版的pam配置文件，以查看是否仅使用本地用户，或者是否配置为使用ldap / kerberos / winbind / sssd / whatever。

您还可以检查.NET中出现的服务的配置netstat -tlpn。例如，如果看到apache，则可以查看/etc/http/conf/httpd.conf（在RHEL上，/etc/apache2在Ubuntu上），然后尝试查看正在运行的网站。或者，您可以执行a apachectl -S获取所有已配置的虚拟主机的列表。那里有很多粉丝，所以我真正能做的就是以apache为例，只是说要验证守护程序的配置（如果有的话）。

在RHEL上，我还将检查rpm -qa --last | head他们上一次进行系统更新的时间。我还将检查是否通过以下方式启用了SELinux：getenforce

其他一些想法：

• /proc文件系统是否存在可能表明您使用的是 Mac， FreeBSD还是Linux。
• 软件包管理因Linux发行版而异。基于Debian的软件很容易使用，例如Deepin，Ubuntu，Mint；Red Hat和Fedora的表现达到了一定程度，但现在Fedora有了DNF ; Arch使用pacman。所以我们可以做这样的事情：ls /usr/bin | grep 'apt\|yum\|pacman'
• 查看时，某些端口上存在某些服务netstat -tulpan。可能是sshdWeb服务器ftp；