文章总结： Linux_checklist是一款面向运维与安全审计的轻量级Shell工具，用于Linux主机自动化巡检。它通过纯Shell实现，无依赖且兼容性强，支持对系统基线、安全配置、运行状态等多维度检测。主要功能涵盖网络流量嗅探检测、无文件攻击排查、系统文件完整性校验、账号权限审计、持久化机制检查及日志入侵溯源等。该工具能够帮助用户快速发现安全隐患，生成结构化报告，适用于日常运维及安全评估场景。 综合评分： 81 文章分类： 安全工具,应急响应,终端安全,安全建设

Linux_checklist：内网敏感日志审查工具

原创

网安武器库 网安武器库

网安武器库

2026年3月6日 11:07 山东

更多干货  点击蓝字 关注我们

注：本文仅供学习，坚决反对一切危害网络安全的行为。造成法律后果自行负责！

往期回顾

·XingRin（星环）：一个功能强大的开源攻击面管理平台

·PYDNS-Scanner：一款高性能的DNS扫描利器

·Nuclei GUI Scanner ：基于 PyQt5 开发的 Nuclei 漏洞扫描图形化工具

·Onyx：高效辅助的一站式渗透测试工具集

·AI-Reverse-Engineering：ai逆向工具实战和CTF适用

·Venom：全面的渗透测试利器

介绍

       Linux_checklist 是一款面向运维与安全审计场景的轻量级 Shell 工具，通过对 Linux 主机进行多维度自动化巡检，实现对系统基线合规性、安全配置与运行状态的快速评估。该工具以模块化脚本为核心，可对主机的基础环境（内核版本、发行版信息、硬件资源）、安全基线（SSH 配置、防火墙策略、用户权限、文件权限）、性能指标（系统负载、进程占用、磁盘 I/O、网络连接）等关键维度进行自动化检测，并以结构化输出形式直观呈现合规项与风险点，支持全量巡检或按安全、性能等维度进行专项核查。

       其采用无依赖的纯 Shell 实现，具备良好的跨发行版兼容性，可在主流 Linux 环境中快速部署执行；同时支持将巡检结果重定向至日志文件，便于后续溯源与合规报告生成，适用于日常运维巡检、安全评估与基线核查等场景。

安装及演示

克隆仓库

# 克隆仓库到本地（推荐目录：/opt 或用户家目录）git clone https://github.com/HuyaThomas/Linux_checklist.git# 进入项目目录cd Linux_checklis

赋予执行权限

项目核心是 Shell 脚本，需赋予执行权限：

# 给所有脚本添加执行权限（按需，也可单独给主脚本加）chmod +x *.sh

1. 查看脚本说明（核心步骤）

首先查看项目内的脚本列表和说明，确认核心功能脚本：

# 列出所有脚本，了解功能分类ls -l# 查看脚本注释/帮助（以核心检查脚本为例，如 check_system.sh，需替换为实际脚本名）cat check_system.sh | head -50  # 查看前50行注释，了解使用方式

2.执行基础系统检查

以通用系统检查为例（不同脚本功能不同，需结合项目实际脚本名）：# 执行系统基础信息检查（示例：替换为项目实际主脚本）./Linux_checklist.sh# 若脚本支持参数，例如指定检查维度（安全/性能/配置）./Linux_checklist.sh --security  # 仅检查安全项./Linux_checklist.sh --performance  # 仅检查性能项./Linux_checklist.sh --all  # 全量检查

在该目录里就可以看到报告

主要检查项

一、网络流量与嗅探行为检测

-网卡混杂模式检测

检查网卡是否处于Promiscuous混杂模式，识别是否存在内网嗅探、密码抓取等监听行为。

-网络连接与外联行为审计

枚举全量网络连接，统计外联目标 IP 与端口，识别异常 C2 远控、反弹 Shell、挖矿矿池连接。

-监听端口合规性检查

枚举全量监听端口，排查非业务端口、高位后门端口、异常监听服务。

-DNS 与 Hosts 文件篡改检查

核查/etc/resolv.conf、/etc/hosts是否存在恶意劫持、域名重定向、钓鱼配置。

二、无文件攻击与内存驻留程序检测

-已删除文件进程排查

遍历/proc/[pid]/exe，识别磁盘文件已删除但仍在内存运行的进程，定位无文件木马、Rootkit、内存挖矿程序。

-系统资源异常占用分析

提取 CPU、内存占用 Top 进程，识别异常高耗资源进程、匿名进程、无描述进程等挖矿 / 木马特征。

-隐藏进程与异常进程树分析

结合进程父子关系、启动参数、执行路径，排查伪装进程、孤儿进程、恶意守护进程。

三、系统命令与关键文件完整性校验

-系统核心二进制文件校验

使用rpm -V等包管理器校验ls、ps、netstat、top、sshd、login等系统工具完整性，识别被替换、植入后门的系统命令。

-SUID/SGID 权限文件审计

扫描全局 SUID/SGID 可执行文件，排查异常提权文件、非系统默认提权程序。

-临时目录恶意文件排查

审计/tmp、/var/tmp等可写目录，识别隐藏脚本、ELF 木马、下载器、反弹 Shell 工具。

-关键文件防篡改属性检查

检查系统文件是否被chattr +i等方式锁定，识别 Rootkit 对抗查杀、阻止清理的行为。

四、账号权限与 SSH 认证安全审计

-特权账号合规检查

核查/etc/passwd，排查非 root 但UID=0的超级权限账号。

-可登录账号与密码策略审计

分析/etc/shadow，识别空密码、弱密码、异常启用的登录账号。

-Sudo 权限滥用检查

审计/etc/sudoers及相关配置，识别非法ALL=(ALL) NOPASSWD等高风险授权。

-SSH 免密公钥排查

遍历/root/.ssh/、/home/*/.ssh/authorized_keys，识别未授权、陌生、跨域公钥植入。

-SSH 登录劫持检测

检查sshrc、.bashrc、.profile、/etc/profile.d等登录加载项，识别登录即触发的恶意脚本。

五、持久化机制与自启动项排查

-定时任务恶意指令扫描

审计/etc/crontab、/etc/cron.d/*及所有用户 crontab，识别包含bash -i、nc、curl、wget、python等反弹、下载、外联特征的恶意任务。

-Systemd 服务与开机启动项审计

核查 enabled 状态服务、自定义 service 文件、/etc/rc.local，排查伪装系统服务、恶意自启动脚本。

-启动脚本与 rc 系列文件检查

检查系统启动阶段执行脚本，识别开机隐蔽执行的持久化后门。

六、日志审计与入侵痕迹溯源

-SSH 暴力破解行为统计

分析/var/log/secure、auth.log等安全日志，提取高频失败登录 IP，识别爆破行为。

-成功登录会话审计

提取近期成功登录记录、登录来源 IP、登录时间与终端，定位异常登录。

-账号与权限变更审计

检索useradd、userdel、usermod、passwd等操作日志，识别非法账号创建、提权行为。

-历史命令敏感操作溯源

审计.bash_history等命令历史，检索wget、curl、tar、chmod、chattr、ssh、nc等敏感操作，还原攻击链路。

github地址

https://github.com/HuyaThomas/Linux_checklist

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网安武器库 网安武器库 网安武器库《Linux_checklist：内网敏感日志审查工具》