Seguridad e integridad

Lista de comandos Linux útiles para comprobar la seguridad e integridad del sistema:

cat /etc/passwd: Verifica los usuarios del sistema.
cat /etc/shadow: Revisa las contraseñas encriptadas (requiere permisos de root).
sudo awk -F: '($3 == 0) {print}' /etc/passwd: Busca cuentas con UID 0 (root).
ls -l /etc/passwd /etc/shadow: Verifica los permisos de los archivos críticos.
sudo find / -perm -4000 -o -perm -2000: Busca archivos con permisos SUID o SGID.
cat /etc/sudoers | grep -v '#': Listar usuarios con privilegios de superusuario
last: Ver los ultimos accesos al sistema
who w Lista conexiones activas SSH
journalctl -xe | grep "Failed password" Inicios de sesión fallidos.
find /etc -type f -mtime -1 # Archivos modificados en las últimas 24 horas Cambios recientes en archivos del sistema*

sudo netstat -tuln: Lista los puertos abiertos y los servicios asociados.
sudo ss -tuln: Alternativa moderna a netstat.
sudo lsof -i: Muestra los archivos abiertos relacionados con la red. sudo lsof -i -P -n: Verificar conexiones entrantes y salientes
sudo nmap localhost: Escanea los puertos locales (requiere instalación de nmap). sudo nmap -sS -p- localhost

ps aux: Lista todos los procesos en ejecución. ps aux --sort=-%cpu: Procesos sospechosos ps -U root -u root u: Procesos ejecutandose como root
top o htop: Monitorea el uso de recursos y procesos en tiempo real.
sudo pstree: Muestra los procesos en forma de árbol.

sudo debsums (en Debian/Ubuntu): Verifica la integridad de los paquetes instalados.
sudo rpm -Va (en RedHat/CentOS): Verifica la integridad de los paquetes RPM.
sudo tripwire --check: Si tienes Tripwire instalado, verifica cambios en los archivos del sistema.
sudo aide --check: Similar a Tripwire, verifica la integridad del sistema con AIDE.

sudo cat /var/log/auth.log (o /var/log/secure en RedHat): Revisa intentos de autenticación.
sudo grep "Failed" /var/log/auth.log: Busca intentos fallidos de inicio de sesión.
sudo tail -f /var/log/syslog: Monitorea los logs en tiempo real.
sudo journalctl -xe: Revisa logs del sistema con systemd.

sudo apt list --upgradable (en Debian/Ubuntu): Lista paquetes que necesitan actualización.
sudo yum check-update (en RedHat/CentOS): Verifica actualizaciones disponibles.
sudo unattended-upgrades --dry-run: Simula la instalación de actualizaciones de seguridad.

sudo ufw status: Verifica el estado del firewall UFW (en Ubuntu).
sudo iptables -L -v -n: Lista las reglas de iptables.
sudo firewall-cmd --list-all: Verifica las reglas de firewalld (en RedHat/CentOS).

lsmod: Lista los módulos del kernel cargados.
sudo modprobe -r <módulo>: Elimina un módulo sospechoso (si es seguro hacerlo).

printenv: Muestra las variables de entorno actuales.
echo $PATH: Verifica la variable PATH para asegurarte de que no haya rutas sospechosas.

sudo netstat -anp: Muestra todas las conexiones de red y los procesos asociados.
sudo lsof -i -n: Lista las conexiones de red y los archivos abiertos.

sudo find / -type f -perm -o+w: Busca archivos con permisos de escritura para otros.
sudo find / -type d -perm -o+w: Busca directorios con permisos de escritura para otros.

sudo cat /etc/ssh/sshd_config: Revisa la configuración del servidor SSH.
sudo grep PermitRootLogin /etc/ssh/sshd_config: Verifica si el login como root está permitido.

sudo cat /etc/sudoers: Verifica los privilegios de sudo.
sudo grep -r "NOPASSWD" /etc/sudoers*: Busca usuarios con permisos de sudo sin contraseña.

sudo sysctl -a: Muestra todas las configuraciones de seguridad del kernel.