CentOS系統通過日誌反查是否被入侵

2022-10-03 10:06:07 字數 1615 閱讀 3262

一、檢視日誌檔案

linux檢視/var/log/wtmp檔案檢視可疑ip登陸

last -f /var/log/wtmp

該日誌檔案永久記錄每個使用者登入、登出及系統的啟動、停機的事件。因此隨著系統正常執行時間的增加,該檔案的大小也會越來越大,

增加的速度取決於系統使用者登入的次數。該日誌檔案可以用來檢視使用者的登入記錄,last命令就通過訪問這個檔案獲得這些資訊,並以反序從後向前顯示使用者的登入記錄,last也能根據使用者、終端tty或時間顯示相應的記錄。

檢視/var/log/secure檔案尋找可疑ip登陸次數

二、指令碼生產所有登入使用者的操作歷史

在linux系統的環境下,不管是root使用者還是其它的使用者只有登陸系統後用進入操作我們都可以通過命令history來檢視歷史記錄,可是假如一台伺服器多人登陸,一天因為某人誤操作了刪除了重要的資料。這時候通過檢視歷史記錄(命令:history)是沒有什麼意義了(因為history只針對登入使用者下執行有效,即使root使用者也無法得到其它使用者histotry歷史)。

那有沒有什麼辦法實現通過記錄登陸後的ip位址和某使用者名稱所操作的歷史記錄呢?

答案:有的。

通過在/etc/prwww.cppcns.comofile裡面加入以下**就可以實現:

ps1="`whoami`@`hostname`:"'[$pwd]'

history

user_ip=`who -u am i 2>/dev/null| awk ''|sed -e 's/[()]//g'`

if [ "$user_ip" = "" ]

then

user_ip=`hostname`

fiif [ ! -d /tmp/dbasky ]

then

mkdir /tmp/dbasky

chmod 777 /tmp/dbawww.cppcns.comsky

fiif [ ! -d /tmp/dbasky/$ ]

then

mkdir /tmp/dbasky/$

chmod 300 /tmp/dbasky/$

fiexport histsize=4096

dt=`date "+%y-%m-%d_%h:%m:%s"`

export histfile="/tmp/dbasky/$/$ dbasky.$dt"程式設計客棧

chmod 600 /tmp/dbasky/$/*dbasky* 2>/dev/null

source /etc/profile 使用指令碼生效

退出使用者,重新登入

上面指令碼在系統的/tmp新建個dbasky目錄,記錄所有登陸過系統的使用者和ip位址(檔名),每當使用者登入/退出會建立相應的檔案,該檔案儲存這段使用者登入時期內操作歷史,可以用這個方法來監測系統的安全性。

root@zsc6:[/tmp/dbasky/root]ls

10.1.80.47 dbasky.2013-10-24_12:53:08

root@zsc6:[/tmp/dbasky/root]cat 10.1.80.47 dbasky.2013-10-24_12:53:08

三、總結

本文標題: centos系統通過日誌反查是否被入侵

本文位址: /jiqiao/fuwuqi/161997.html

ELK日誌分析系統通過shield實現許可權管理

把使用者切換到elasticsearch的使用者,並將目錄切換到elasticsearch安裝目錄下 執行下面操作 安裝elasticsearch許可外掛程式 bin plugin install elasticsearch license latest 安裝shield外掛程式 bin plugi...

CentOS系統通過PXE實現批量無人值守安裝

通過傳統的方式安裝和部署計算機時,都需要人工干預的方式完成安裝。如果需要部署大量的類似功能的工作站或伺服器,則需要耗費大量的時間。同時傳統的安裝方式,每台計算機都需要光碟機裝置及安裝光碟等介質,會額外增加部署成本。因此,許多系統管理員都希望能夠通過一種網路化的無人值守的自動安裝方式將作業系統部署到目...

centos下沒有桌面系統,通過命令列配置網路資訊

公司內部需要使用伺服器,但是要求安裝ubuntu沒有桌面的版本系統,後來通過配置 etc network inte ces etc init.d networking restart 這條命令是重啟網絡卡 或者 ifdown eth0 ifup eth0 這兩條命令是有針對性的重啟某個網路介面,因為...