KalesTech/linux-host-audit

# Linux 主机审计 一个轻量级的 Linux 系统审计和清单收集脚本。 该工具收集系统配置、硬件、软件和网络状态的全面快照，并将结果保存在一个带时间戳的目录中，同时附带一个压缩归档文件。 ## 概述 Linux Host Audit 专为需要清晰、易读的 Linux 系统特定时间点快照的场景而设计。 典型用例包括： - 系统文档记录 - 主机审计 - 迁移或重建准备 - 事件响应证据收集 - 学习和实验环境 该脚本侧重于**广度和清晰度**，而非持续监控。 ## 安全与范围说明 ⚠️ 此工具收集敏感系统信息。 在未审查内容的情况下，请勿将审计输出上传到公共仓库或共享归档文件。 此工具不执行加固、入侵防御或实时监控。它是一个只读审计实用程序。 ## 脚本收集内容 ### 系统与操作系统 - 内核版本 - 操作系统发行版信息 - 桌面环境 / 会话类型 - 活动 Shell ### 软件 - 显式安装的软件包 - AUR 软件包 - 运行中的进程 ### 服务 - 运行中的 systemd 服务 - 已启用的 systemd 服务 ### 硬件 - CPU 详情 - 内存使用情况 - 块设备和分区 - USB 设备 - PCI 设备 ### 磁盘使用情况 - 已挂载文件系统使用情况 - 主目录的各目录大小摘要 ### 网络 - 网络接口 - NetworkManager 设备详情 ### 用户与调度 - 用户点文件列表 - 用户 cron 任务 - Root cron 任务（需要 sudo） ## 使用方法 1. 为脚本添加可执行权限： chmod +x audit.sh 2. 运行脚本： ./audit.sh 将在以下位置创建一个带时间戳的目录： ~/EndeavourOS-Audit/ 完成后，该目录将被归档为： TIMESTAMP.tar.gz ## 输出结构 EndeavourOS-Audit/ └── 2026-04-06_14-30-55/ ├── audit.log ├── system_info.txt ├── installed_packages.txt ├── aur_packages.txt ├── kernel_info.txt ├── os_info.txt ├── desktop_info.txt ├── active_services.txt ├── enabled_services.txt ├── dotfiles_list.txt ├── cpu_info.txt ├── disk_partitions.txt ├── usb_devices.txt ├── pci_devices.txt ├── memory_info.txt ├── disk_usage.txt ├── home_folder_sizes.txt ├── network_interfaces.txt ├── network_details.txt ├── shell_info.txt ├── running_processes.txt ├── user_cron_jobs.txt ├── root_cron_jobs.txt └── README.md ## 平台说明 - 专为基于 Arch 的系统设计 - 使用 pacman 进行软件包清单管理 - 使用 yay 或 paru 检测 AUR 软件包（如果已安装） - 需要 systemd - Root cron 检查需要 sudo 权限 ## 安全注意事项 - 无网络访问 - 不更改系统配置 - 仅进行只读检查 - 输出写入到用户控制的目录 - Sudo 仅用于查看 root cron 任务 ## 局限性 - 特定于 Arch 的软件包工具 - 仅限快照（不进行运行之间的比较） - 旨在手动执行，不作为守护进程使用 ## 未来改进 - 可选的非 root 模式 - 跨发行版软件包支持 - JSON 输出选项 - 可配置的输出目录 - 快照之间的比较模式 ## 许可证 本项目采用 MIT 许可证。

标签：Arch Linux, Awesome, Bash, Crontab, Cutter, EndeavourOS, ESC漏洞, LangChain, Mr. Robot, Shell脚本, SQL, 主机审计, 只读, 后渗透, 库, 应急响应, 应用安全, 开源, 数据包嗅探, 文档化, 无线安全, 日志归档, 服务检查, 流量嗅探, 硬件信息, 磁盘使用, 系统信息收集, 系统审计, 系统快照, 系统管理, 系统迁移, 网络安全审计, 网络状态, 网络调试, 自动化, 证据收集, 资产盘点, 轻量级, 运维工具, 配置检查