优化后的代码如下：

wget --timeout=10 --no-check-certificate https://github.com/al0ne/LinuxCheck/raw/master/rkhunter.tar.gz -O /tmp/rkhunter.tar.gz >/dev/null 2>&1

cmdline=(
"net-tools"
"telnet"
"nc"
"lrzsz"
"wget"
"strace"
"htop"
"tar"
"lsof"
"tcpdump"
"the_silver_searcher"
"silversearcher-ag"
"rkhunter"
)

yum install rkhunter -y 是可以成功的。。

因为在centos 重复执行脚本的时候，老是提示： silversearcher-ag没有安装，其实已经安装了，是the_silver_searcher，centos 仅需：yum install -y the_silver_searcher
同样，在Debian 重复执行的时候，老是提示：the_silver_searcher 没有安装，其实已经安装了，是silversearcher-ag，Debian仅需：apt install -y silversearcher-ag

所以简单调整了一下代码

安装应急必备工具

cmdline=(
"net-tools"
"telnet"
"nc"
"lrzsz"
"wget"
"strace"
"htop"
"tar"
"lsof"
"tcpdump"
"rkhunter"
)
for prog in "${cmdline[@]}"; do

if [ $OS = 'Centos' ]; then
soft=$(rpm -q "$prog")
if echo "$soft" | grep -E '没有安装|未安装|not installed' >/dev/null 2>&1; then
echo -e "$prog 安装中......"
yum install -y "$prog" >/dev/null 2>&1
yum install -y the_silver_searcher >/dev/null 2>&1
fi
else
if dpkg -L $prog | grep 'does not contain any files' >/dev/null 2>&1; then
echo -e "$prog 安装中......"
apt install -y "$prog" >/dev/null 2>&1
apt install -y silversearcher-ag >/dev/null 2>&1
fi

fi
done

内存占用排序，应该是 -k4，应该是忘记改参数了

另外，提个小建议：
代码中有很多输出字体颜色标记，可以封装成 print_msg 函数，这样可以简化代码，增加可读性，类似于如下。

#!/bin/bash

print_msg() {
  echo -e "\e[00;31m[+]$1\e[00m"
}

print_msg 'hello'

last but not least，很棒的实现，学到很多，shell 6 的起飞 🛫

执行./LinuxCheck.sh 时 总爆/usr/bin/env: "bash\r": 没有那个文件或目录 。

一方面，在日常的应急项目中，希望能够快速导出当前机器的审查结果。
另一方面，有些情况下没有办法传递脚本，希望可以能出一个包含所有测试项的表格，可以更加方便记录工作量。
表格中提供测试大项描述、小项描述、具体执行命令、结果截图。

LinuxCheck自检脚本功能陈列

自检脚本功能陈列（非源码、仓库说明顺序，仅个人写作方便），以及个人对该脚本处理执行意义推测（括号内）：

检查内容分解 上

• 部分类型的挖矿木马检测、常规挖矿进程检测
• Python3 pip 检测（推测是脚本自身用到的依赖项检测，以及python也挺普遍的，二者都有吧）
• JSP、PHP webshell查杀 （常规，杀软河马查杀也有效果）
• Redis弱密码检测 （数据库缓存服务暴露在公网上，服务没设置密码，攻破后导致数据随意访问）
• SSH检查：SSH key显示罗列（比对用的）、SSH inetd(特权提升)、软连接后门、SSH暴破IP统计
• Rootkit检查：
  • lsmod可疑模块罗列（认为可疑的逻辑：控制系统内存，以及类似增强型功能的支持扩展，可能造成系统不稳定。）
  • Rootkit 内核模块（病毒样本的模块吧）
  • /usr/src/ofa_kernel/default/compat/mlx_compat.ko （通过modinfo mlx_compat的回显来看，大概是兼容、移植用的。）

检查内容分解 中

• Bash配置检查：
  • History （history -a 从缓存中取出历史记录。）
  • /etc/rc.local （**是/etc/rc.d/rc.local的软连接，查看自启服务的；**默认没有执行权限，需手动修改。）
  • /etc/profile （全局的环境变量配置文件,这里修改会对所有用户起作用。）
  • $HOME/.profile （对当前用户的家目录的有用，修改后，source更新）
  • ~/.bash_profile （它只能登入的时候执行一次。）
  • ~/.bashrc (同~/.bash_profile，最大区别：shell script每次都会执行。)
  • bash反弹shell（简单粗糙的理解就是，我执行的shell，传到你机器上执行。）
• 环境变量检查：
  • PATH
  • LD_PRELOAD（抓关键句快速了解：它允许你定义在程序运行前优先加载的动态链接库，另一方面，我们也可以以向别人的程序注入程序，从而达到特定的目的。）
  • LD_ELF_PRELOAD、LD_AOUT_PRELOAD （ELF，简单理解，参与程序的调度连接与执行。(涉及汇编知识)）
  • PROMPT_COMMAND (export PROMPT_COMMAND="echo Hello" 查看异常的命令导入)
  • ld.so.preload (通过配置/etc/ld.so.preload，可以自定义程序运行前优先加载的动态链接库)
• 服务信息检查与任务检查：（主要问题点是隐藏后门，植入一般用户不了解的模块、运行编辑器附加命令、系统回显截断机制。）
  • 正在运行的Service
  • 最近添加的Service
  • Crontab
  • Crontab Backdoor

检查内容分解 下

• 文件检查：
  • 系统文件修改时间
  • 7天内改动文件、大于200M文件
  • 可疑黑客文件（.*wget、.*curl、.*openssl、.*mysql，可以理解为黑客植入程序脚本的伪装）
  • 敏感文件 （识别机制：Nikto、ettercap文件名等黑客工具，以及miner挖矿之类文件等）
  • 隐藏文件与临时目录/tmp
  • alias （检查建立过的别名）
  • SUID：/usr/libexec/abrt-action-install-debuginfo-to-abrt-cache （简单理解为有suid授权的用户，等同于持有文件权限的尚方宝剑）
  • lsof +L1 (寻找本地断开的打开文件，网上文章不少表示“显示所有打开的链接数小于1的文件”，真是看不明白...)
• 基础配置检查：
  • 系统配置信息、登陆用户、hosts
  • CPU使用率/CPU TOP15/内存占用 TOP15、内存占用/硬盘剩余空间
  • 硬盘挂载、常用软件
• 网络/流量检查
  • ifconfig、网卡混杂模式(网络抓包工具就是网卡的混杂模式)、TCP连接类别
  • 对外开放端口、端口监听(百度百科-端口监听：我们都知道远程访问一台机器的共享目录实际是访问139端口，那么只要对本机139的监听就可以察觉对远程的访问请求。)
  • 网络连接、网络流量、路由表、路由转发(即路由中继)
  • DNS、ARP、IPTABLES
• 用户信息检查：可登陆用户、登录信息、密码文件修改日期、sudoers（特权提升文件）

root@k:~/LinuxCheck# ./LinuxCheck.sh

=========================================================
\ Linux信息搜集脚本 V1.2 /

支持Centos、Debian系统检测

author：al0ne

[+]系统改动

直接使用curl或者运行sh脚本，直接这么提示，然后就结束了？也没个报错或者log输出之类的

一方面，在日常的应急项目中，希望能够快速导出当前机器的审查结果。
另一方面，有些情况下没有办法传递脚本，希望可以能出一个包含所有测试项的表格，可以更加方便记录工作量。
表格中提供测试大项描述、小项描述、具体执行命令、结果截图。