【Kali技巧】Kali Linux 系统服务与进程监控（渗透测试入门图文版）

全文面向渗透测试入门学习者贴合实战场景全程可在默认 Kali 环境复现总字数约 2900 字配套明确的截图标注指引零基础可直接跟着操作落地。一、前言渗透测试为什么必须掌握这项技能这绝非单纯的运维知识而是贯穿渗透全流程的核心能力本地环境管理Metasploit、钓鱼站点等核心渗透工具全依赖对应系统服务的正常运行信息收集目标主机的服务与进程会直接暴露端口、业务架构、防护软件等关键情报权限维持与痕迹清理拿到目标权限后需排查监控进程、隐藏后门、清理操作痕迹避免触发告警。二、核心基础概念新手极简版系统服务Daemon后台常驻运行的特殊进程通常随系统开机启动对外提供功能如 SSH 远程、Apache 网页服务命名常以d结尾无终端交互。进程程序运行的实例是系统资源分配的最小单位。服务本质是常驻后台的进程但进程不一定是服务比如执行一次ls生成的临时进程。核心规则Kali 基于 Debian 系统默认使用systemd管理所有服务核心操作命令为systemctl。三、系统服务核心管理命令渗透高频必学以下命令均需先执行sudo -i切换 root 权限执行避免权限不足报错适配 Kali 2023 及以上所有版本。核心命令核心作用渗透高频使用场景systemctl status 服务名查看服务运行状态、开机自启配置、运行日志排查 Metasploit 依赖的 PostgreSQL 服务是否正常systemctl start/stop 服务名启动 / 停止指定服务临时开启 SSH 远程、启动 Apache 钓鱼站点服务systemctl enable/disable --now 服务名开启 / 关闭服务开机自启--now让配置立即生效配置 SSH 开机自启关闭不必要的风险服务systemctl list-units --typeservice --staterunning查看所有正在运行的服务排查本地开放服务、目标主机的业务服务systemctl list-unit-files --typeservice查看所有服务的开机自启状态排查目标主机的后门服务、恶意自启程序四、进程监控与管理核心工具全系统自带无需额外安装1. 静态进程全量排查ps 命令入门必背ps aux可列出系统所有进程的完整信息是渗透信息收集、进程排查的首选命令。核心字段新手只需记住 4 个USER进程所属用户、PID进程唯一 ID所有进程操作的核心、%CPU/%MEM资源占用率、COMMAND进程对应的程序路径高频过滤用法ps aux | grep 关键词比如ps aux | grep sshd快速定位目标进程执行ps aux | grep sshd命令后终端输出的完整结果红框标注PID字段这个数字是进程的唯一身份证后续终止、排查全靠它2. 动态进程实时监控top/htoptop系统自带工具实时刷新进程的 CPU、内存占用按P按 CPU 占用排序按M按内存排序按k输入 PID 可终止进程按q退出。htop新手友好型替代工具界面更直观支持鼠标操作安装命令apt install htop -y。如上图PID、CPU%、MEM%、COMMAND等这些是进程信息底部F9终止进程、F10退出这些是快捷键降低新手操作门槛3. 端口 - 进程关联排查lsof渗透核心命令核心作用是打通「端口 - 进程 - PID」的对应关系是解决端口占用、排查目标网络连接的必备工具渗透测试高频使用。高频用法 1lsof -i :端口号比如lsof -i :22查看指定端口对应的进程与 PID高频用法 2lsof -i列出所有进程的网络连接排查目标主机的外联行为、抓包进程4. 进程终止核心命令优先使用kill -15 PID优雅终止进程会让程序正常退出并释放资源强制使用kill -9 PID针对卡死、恶意的进程谨慎使用新手友好pkill 进程名按进程名批量终止无需输入 PID比如pkill apache2五、实战案例复现案例 1解决工具依赖、端口占用问题场景日常渗透中远程管理 Kali、搭建钓鱼站点、启动 Metasploit 都依赖服务启停新手常遇到端口占用、工具启动失败问题本案例全流程复现解决。前置准备Kali 终端执行sudo -i切换 root 权限步骤 1SSH 远程服务配置远程管理 Kali 必备查看服务默认状态Kali 默认未启动、关闭开机自启为了恢复Kali 默认未启动、关闭开机自启ssh的环境先停止ssh服务禁用开机自启# 关闭服务systemctl stop ssh# 禁用ssh自启systemctl disable ssh# 查看ssh状态systemctl status ssh如上图禁用成功如何开启呢# 关闭服务systemctl start ssh# 开启ssh自启systemctl enable ssh# 查看ssh状态开启成功systemctl status sshactive (running)表示服务正在启动中、enabled表示此服务开机自动启动步骤 2解决端口占用问题搭建钓鱼站点高频踩坑执行systemctl start apache2启动 Apache 服务默认占用 80 端口模拟踩坑执行python3 -m http.server 80会出现「Address already in use」端口占用报错排查占用源执行lsof -i :80获取占用 80 端口的 Apache 进程 PID释放端口如上图apache2服务占用了80端口我们可以执行systemctl stop apache2终止 Apache 服务验证重新执行python3 -m http.server 80端口正常启动案例 2目标主机进程排查与痕迹清理场景模拟拿到目标 Linux 主机 Shell 后的标准操作排查防护进程、清理操作痕迹贴合真实渗透流程本地 Kali 即可复现。排查目标防护进程规避告警执行ps aux | grep -E snort|suricata|clamav|tcpdump|auditd过滤入侵检测、杀毒、抓包、审计类防护进程输出了内容即代表目标运行这些防护进程需要谨慎操作执行系统命令执行top动态排查 CPU 占用异常的监控进程六、新手避坑指南渗透红线必看禁止随意使用kill -9终止systemd、init等系统核心进程会直接导致系统崩溃开启sshd等远程服务时必须设置强密码禁止使用弱密码避免 Kali 系统被恶意入侵授权渗透测试中禁止随意终止目标主机的业务进程否则会导致业务中断触发合规风险非必要服务不要开启开机自启既会拖慢 Kali 开机速度也会带来长期安全风险。七、总结系统服务与进程管理是渗透测试从 “脚本小子” 走向专业从业者的必备基础。本文覆盖的命令与实战既能满足日常 Kali 渗透环境的管理需求也能直接应用于真实渗透的信息收集、权限维持与痕迹清理环节。下一篇我们将进入《Kali Linux 网络通信与连接分析》深入学习渗透测试中的网络核心技能。 网络安全学习资源推荐觉得文章对你有帮助想获取更多实战干货我们为你准备了一套「从零到一的网络安全学习资料包」包括红队攻防实战手册- 内网渗透、漏洞利用、权限提升网络安全学习路线图- 零基础入门到就业完整路径最新网络安全面试题- 大厂真题面试技巧️渗透测试工具包- 常用工具使用教程靶场搭建全套方案- DVWA、SQLi-Labs等实战环境如何获取微信搜索公众号[智榜样网络安全学习中心]关注后回复关键词「网络安全」即可免费领取全套学习资料 适合人群网络安全初学者、转行人员、在校学生、想要提升实战能力的从业者我们在网络安全培训领域深耕多年专注红蓝对抗实战与就业指导帮助数百名学员成功入行