CentOS通过日志反查入侵
2015-09-11 16:39
597 查看
1、查看日志文件 Linux查看/var/log/wtmp文件查看可疑IP登陆 last -f /var/log/wtmp
2、查看/var/log/secure文件寻找可疑IP登陆次数;
3、脚本生产所有登录用户的操作历史 linux系统的环境下,不管是root用户还是其它的用户只有登陆系统后用进入操作我们都可以通过命令history来查看历史记录,可是假如一台服务器多人登陆,一天因为某人误操作了删除了重要的数据。这时候通过查看历史记录(命令:history)是没有什么意义了(因为history只针对登录用户下执行有效,即使root用户也无法得到其它用户histotry历史)。那有没有什么办法实现通过记录登陆后的IP地址和某用户名所操作的历史记录呢?答案:有的。通过在/etc/profile里面加入以下代码就可以实现:
source /etc/profile 使脚本生效;
退出用户,重新登录
上面脚本在系统的/tmp新建个dbasky目录,记录所有登陆过系统的用户和IP地址(文件名),每当用户登录/退出会创建相应的文件,该文件保存这段用户登录时期内操作历史,可以用这个方法来监测系统的安全性。
root@centos6.6:[/root]last -f /var/log/wtmp root pts/1 192.168.1.24 Fri Sep 11 16:28 still logged in root pts/2 192.168.1.24 Fri Sep 11 16:23 - 16:28 (00:05) root pts/1 192.168.1.24 Fri Sep 11 16:19 - 16:24 (00:05) root pts/0 :0.0 Wed Apr 1 09:11 still logged in root tty1 :0 Wed Apr 1 09:11 still logged in reboot system boot 2.6.32-504.el6.x Wed Apr 1 09:09 - 16:32 (163+07:22) root pts/0 :0.0 Tue Mar 31 20:29 - down (12:39) root tty1 :0 Tue Mar 31 20:29 - down (12:39)该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件。因此随着系统正常运行时间的增加,该文件的大小也会越来越大,增加的速度取决于系统用户登录的次数。该日志文件可以用来查看用户的登录记录,last命令就通过访问这个文件获得这些信息,并以反序从后向前显示用户的登录记录,last也能根据用户、终端tty或时间显示相应的记录。
2、查看/var/log/secure文件寻找可疑IP登陆次数;
root@centos6.6:[/root]cat /var/log/secure Sep 6 22:22:38 centos6 sshd[2502]: pam_unix(sshd:session): session closed for user root Sep 6 22:22:39 centos6 sshd[2443]: pam_unix(sshd:session): session closed for user root Sep 6 23:08:31 centos6 sshd[11623]: Accepted password for root from 192.168.1.24 port 60533 ssh2 Sep 6 23:08:32 centos6 sshd[11623]: pam_unix(sshd:session): session opened for user root by (uid=0) Sep 7 04:55:34 centos6 groupadd[12536]: group added to /etc/group: name=cgred, GID=493
3、脚本生产所有登录用户的操作历史 linux系统的环境下,不管是root用户还是其它的用户只有登陆系统后用进入操作我们都可以通过命令history来查看历史记录,可是假如一台服务器多人登陆,一天因为某人误操作了删除了重要的数据。这时候通过查看历史记录(命令:history)是没有什么意义了(因为history只针对登录用户下执行有效,即使root用户也无法得到其它用户histotry历史)。那有没有什么办法实现通过记录登陆后的IP地址和某用户名所操作的历史记录呢?答案:有的。通过在/etc/profile里面加入以下代码就可以实现:
source /etc/profile 使脚本生效;
退出用户,重新登录
上面脚本在系统的/tmp新建个dbasky目录,记录所有登陆过系统的用户和IP地址(文件名),每当用户登录/退出会创建相应的文件,该文件保存这段用户登录时期内操作历史,可以用这个方法来监测系统的安全性。
root@centos6.6:[/tmp/dbasky/root]ll total 24 -rw-------. 1 root root 40 Sep 11 16:17 192.168.1.24 dbasky.2015-09-11_16:17:09 -rw-------. 1 root root 120 Sep 11 16:19 192.168.1.24 dbasky.2015-09-11_16:17:17 -rw-------. 1 root root 190 Sep 11 16:24 192.168.1.24 dbasky.2015-09-11_16:21:21 -rw-------. 1 root root 143 Sep 11 16:28 192.168.1.24 dbasky.2015-09-11_16:23:08
相关文章推荐
- Linux 伙伴地址
- CentOS 5.4下使用yum安装Xen
- 每个Linux用户都应该知道的命令行技巧
- linux命令--dig
- linux下安装subversion报错:/usr/local/zlib//lib/libz.a(compress.o): relocation R_X86_64_32 against `.rodat
- 【Linux】基于Bind_DLZ和MySQL数据的DNS搭建
- linux命令--nslookup
- Linux常用命令大全
- linux下检测每个进程占用swap大小
- 驱动学习,入门基础--Hello World
- linux下防火墙iptables用法规则详解
- htop监控linux系统
- 代码在windows下运行只有12s,但是在linux下需要50s时,这样优化就可以解决
- linux下用fdisk命令制作U盘启动盘
- Linux rsync + crontab to do backup
- Linux系统资源监控命令
- Linux内核编程基础
- 在CentOS上搭建PHP服务器环境
- linux 输出重定向
- linux时间同步,ntpd、ntpdate