GScan 工具详细使用步骤
-
下载 GScan
首先,从 GitHub 上下载 GScan 工具的压缩包,并解压到本地目录。wget https://github.com/grayddq/GScan/archive/master.zip unzip master.zip -
进入 GScan 目录
通过cd命令进入解压后的 GScan 目录。cd GScan-master -
查看帮助信息
使用--help参数来查看 GScan 工具的使用选项。python GScan.py --help -
运行 GScan 进行快速检查
使用以下命令运行 GScan 工具的快速检查模式,这将快速检查系统并给出初步处理方案。python GScan.py --pro -
运行 GScan 进行完全模式扫描
如果需要执行更彻底的检查,可以使用完全模式,但请注意这可能会消耗更多的时间。python GScan.py --full -
运行 GScan 进行差异模式扫描
差异模式会与上一次扫描结果进行对比,只显示不同之处。python GScan.py --dif -
运行 GScan 获取排查建议
如果需要对异常点进行手工排查,可以使用排查建议模式。python GScan.py --sug -
持久化日志配置
为了确保日志不会因为系统重启而丢失,可以修改/etc/systemd/journald.conf文件,添加或修改以下配置:Storage=persistent Compress=yes SystemMaxUse=10G SystemMaxFileSize=200M MaxRetentionSec=2week修改配置后,重启
systemd-journald服务以使配置生效。systemctl restart systemd-journald -
使用 journalctl 查询日志
配置好持久化后,可以使用journalctl命令来查询和分析日志。journalctl -u sshd journalctl -f # 实时跟踪日志 journalctl --since "2021-11-05" # 查询指定时间后的日志 -
分析结果并采取行动
根据 GScan 提供的报告和建议,进行必要的安全加固和清理工作。
注意事项和建议
- 在使用 GScan 之前,确保你有足够的权限(可能需要 root 权限)。
- GScan 工具提供的是辅助性的安全检查,不能替代全面的安全审计和专业分析。
- 工具执行期间,应密切监控其输出,以便理解检查结果并根据需要采取行动。
- 定期运行 GScan 和其他安全检查工具,以维护系统的安全性。
- 结合使用 GScan 工具和其他安全措施,如防火墙、入侵检测系统和定期的安全培训,可以更有效地提高系统的安全性。
通过上述步骤,你可以更详细地了解如何使用 GScan 工具来自动化排查 Linux 系统中的后门和其他安全隐患。