CentOS通过日志反查入侵(转)
1、查看日志文件
Linux查看/var/log/wtmp文件查看可疑IP登陸
last -f /var/log/wtmp?該日志文件永久記錄每個用戶登錄、注銷及系統的啟動、停機的事件。因此隨著系統正常運行時間的增加,該文件的大小也會越來越大,
增加的速度取決于系統用戶登錄的次數。該日志文件可以用來查看用戶的登錄記錄,
last命令就通過訪問這個文件獲得這些信息,并以反序從后向前顯示用戶的登錄記錄,last也能根據用戶、終端tty或時間顯示相應的記錄。
查看/var/log/secure文件尋找可疑IP登陸次數
last -f /var/log/secure?2、腳本生產所有登錄用戶的操作歷史
在Linux系統的環境下,不管是root用戶還是其它的用戶只有登陸系統后用進入操作我們都可以通過命令history來查看歷史記錄,可是假如一臺服務器多人登陸,一天因為某人誤操作了刪除了重要的數據。這時候通過查看歷史記錄(命令:history)是沒有什么意義了(因為history只針對登錄用戶下執行有效,即使root用戶也無法得到其它用戶histotry歷史)。那有沒有什么辦法實現通過記錄登陸后的IP地址和某用戶名所操作的歷史記錄呢?答案:有的。
通過在/etc/profile里面加入以下代碼就可以實現:
PS1="`whoami`@`hostname`:"'[$PWD]' history USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'` if [ "$USER_IP" = "" ] then USER_IP=`hostname` fi if [ ! -d /tmp/operate_log ] then mkdir /tmp/operate_logchmod 777 /tmp/operate_log fi if [ ! -d /tmp/operate_log/${LOGNAME} ] then mkdir /tmp/operate_log/${LOGNAME} chmod 300 /tmp/operate_log/${LOGNAME} fi export HISTSIZE=4096 DT=`date "+%Y-%m-%d_%H:%M:%S"` export HISTFILE="/tmp/operate_log/${LOGNAME}/${USER_IP} operate_log.$DT" chmod 600 /tmp/operate_log/${LOGNAME}/*operate_log* 2>/dev/nullsource /etc/profile使用腳本生效
退出用戶,重新登錄
上面腳本在系統的/tmp新建個opreate_log目錄,記錄所有登陸過系統的用戶和IP地址(文件名),每當用戶登錄/退出會創建相應的文件,該文件保存這段用戶登錄時期內操作歷史,可以用這個方法來監測系統的安全性。
root@zsc6:[/tmp/dbasky/root]ls 10.1.80.47 operate_log.2013-10-24_12:53:08 root@zsc6:[/tmp/dbasky/root]cat 10.1.80.47 opreate_log.2013-10-24_12:53:08?
參考:
http://www.centoscn.com/CentosSecurity/CentosSafe/2015/0711/5830.html(以上內容轉自此篇文章)
http://www.centoscn.com/CentosSecurity/CentosSafe/2014/0304/2490.html
轉載于:https://www.cnblogs.com/EasonJim/p/8325755.html
《新程序員》:云原生和全面數字化實踐50位技術專家共同創作,文字、視頻、音頻交互閱讀總結
以上是生活随笔為你收集整理的CentOS通过日志反查入侵(转)的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 小程序 常用快捷键
- 下一篇: 【TensorFlow】TF-tf.nn