入侵检测

Question

在当今这个时代，当我们使用Ubuntu台式机/膝上型电脑时，几乎不可能发现谁潜伏在我们的系统中。

任何关于如何检测这样的入侵或如何阻止它发生的想法。

我不是一个程序员，而是一个中级用户。

谢谢

Answer 1

我建议寻找运行进程的用户，使用一个简单的

ps -eo user | sort | uniq -c

这做了以下工作：

1. 打印任何在您的电脑上运行任何内容的用户名。
2. 将此列表降序排序(按用户名)
3. 计算每个用户正在运行的进程数量。

例如，在我的pc上(我的用户名是davide)，输出是

ps -eo user | sort | uniq -c

      2 avahi
      1 colord
    113 davide
     34 gdm
      1 geoclue
      2 kernoops
      1 messagebus
    167 root
      1 rtkit
      1 syslog
      1 systemd-resolve
      1 systemd-timesync
      1 USER
      1 uuidd
      1 whoopsie

然后，如果我想知道avahi在做什么，我可以对此进行更多的调查：

ps axu | grep avahi

avahi     1176  0.0  0.0  47264  3128 ?        Ss   21:26   0:00 avahi-daemon: running [brenna.local]
avahi     1186  0.0  0.0  47076   336 ?        S    21:26   0:00 avahi-daemon: chroot helper