欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

CentOS系統(tǒng)通過日志反查是否被入侵

 更新時間:2016年08月30日 09:19:23   投稿:daisy  
最近有個朋友的服務(wù)器發(fā)現(xiàn)有入侵的痕跡后來處理解決但是由于對方把日志都清理了無疑給排查工作增加了許多難度。其實(shí)日志的作用是非常大的。學(xué)會使用通過日志來排查解決我們工作中遇到的一些問題是很有必要的。下面就一一道來。

一、查看日志文件

 Linux查看/var/log/wtmp文件查看可疑IP登陸

 last -f /var/log/wtmp

該日志文件永久記錄每個用戶登錄、注銷及系統(tǒng)的啟動、停機(jī)的事件。因此隨著系統(tǒng)正常運(yùn)行時間的增加,該文件的大小也會越來越大,

增加的速度取決于系統(tǒng)用戶登錄的次數(shù)。該日志文件可以用來查看用戶的登錄記錄,last命令就通過訪問這個文件獲得這些信息,并以反序從后向前顯示用戶的登錄記錄,last也能根據(jù)用戶、終端tty或時間顯示相應(yīng)的記錄。

查看/var/log/secure文件尋找可疑IP登陸次數(shù)

二、腳本生產(chǎn)所有登錄用戶的操作歷史

在linux系統(tǒng)的環(huán)境下,不管是root用戶還是其它的用戶只有登陸系統(tǒng)后用進(jìn)入操作我們都可以通過命令history來查看歷史記錄,可是假如一臺服務(wù)器多人登陸,一天因?yàn)槟橙苏`操作了刪除了重要的數(shù)據(jù)。這時候通過查看歷史記錄(命令:history)是沒有什么意義了(因?yàn)?code>history只針對登錄用戶下執(zhí)行有效,即使root用戶也無法得到其它用戶histotry歷史)。

那有沒有什么辦法實(shí)現(xiàn)通過記錄登陸后的IP地址和某用戶名所操作的歷史記錄呢?

答案:有的。

通過在/etc/profile里面加入以下代碼就可以實(shí)現(xiàn):

PS1="`whoami`@`hostname`:"'[$PWD]'
history
USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`
if [ "$USER_IP" = "" ]
then
USER_IP=`hostname`
fi
if [ ! -d /tmp/dbasky ]
then
mkdir /tmp/dbasky
chmod 777 /tmp/dbasky
fi
if [ ! -d /tmp/dbasky/${LOGNAME} ]
then
mkdir /tmp/dbasky/${LOGNAME}
chmod 300 /tmp/dbasky/${LOGNAME}
fi
export HISTSIZE=4096
DT=`date "+%Y-%m-%d_%H:%M:%S"`
export HISTFILE="/tmp/dbasky/${LOGNAME}/${USER_IP} dbasky.$DT"
chmod 600 /tmp/dbasky/${LOGNAME}/*dbasky* 2>/dev/null
source /etc/profile 使用腳本生效

退出用戶,重新登錄

上面腳本在系統(tǒng)的/tmp新建個dbasky目錄,記錄所有登陸過系統(tǒng)的用戶和IP地址(文件名),每當(dāng)用戶登錄/退出會創(chuàng)建相應(yīng)的文件,該文件保存這段用戶登錄時期內(nèi)操作歷史,可以用這個方法來監(jiān)測系統(tǒng)的安全性。

root@zsc6:[/tmp/dbasky/root]ls

10.1.80.47 dbasky.2013-10-24_12:53:08

root@zsc6:[/tmp/dbasky/root]cat 10.1.80.47 dbasky.2013-10-24_12:53:08

三、總結(jié)

以上就是這篇文章的全部內(nèi)容,希望對大家維護(hù)服務(wù)器安全能有所幫助,如果有疑問可以留言交流。

相關(guān)文章

最新評論