CentOS通過日誌反查入侵(轉)
1、查看日誌文件
Linux查看/var/log/wtmp文件查看可疑IP登陸
last -f /var/log/wtmp
該日誌文件永久記錄每個用戶登錄、註銷及系統的啟動、停機的事件。因此隨著系統正常運行時間的增加,該文件的大小也會越來越大,
增加的速度取決於系統用戶登錄的次數。該日誌文件可以用來查看用戶的登錄記錄,
last命令就通過訪問這個文件獲得這些信息,並以反序從後向前顯示用戶的登錄記錄,last也能根據用戶、終端tty或時間顯示相應的記錄。
查看/var/log/secure文件尋找可疑IP登陸次數
last -f /var/log/secure
2、腳本生產所有登錄用戶的操作歷史
在Linux系統的環境下,不管是root用戶還是其它的用戶只有登陸系統後用進入操作我們都可以通過命令history來查看歷史記錄,可是假如一臺服務器多人登陸,一天因為某人誤操作了刪除了重要的數據。這時候通過查看歷史記錄(命令:history)是沒有什麽意義了(因為history只針對登錄用戶下執行有效,即使root用戶也無法得到其它用戶histotry歷史)。那有沒有什麽辦法實現通過記錄登陸後的IP地址和某用戶名所操作的歷史記錄呢?答案:有的。
通過在/etc/profile裏面加入以下代碼就可以實現:
PS1="`whoami`@`hostname`:"‘[$PWD]‘ history USER_IP=`who -u am i 2>/dev/null| awk ‘{print $NF}‘|sed -e ‘s/[()]//g‘` if [ "$USER_IP" = "" ] then USER_IP=`hostname` fi if [ ! -d /tmp/operate_log ] then mkdir /tmp/operate_logchmod 777 /tmp/operate_log fi if [ ! -d /tmp/operate_log/${LOGNAME} ] then mkdir /tmp/operate_log/${LOGNAME} chmod 300 /tmp/operate_log/${LOGNAME}fi export HISTSIZE=4096 DT=`date "+%Y-%m-%d_%H:%M:%S"` export HISTFILE="/tmp/operate_log/${LOGNAME}/${USER_IP} operate_log.$DT" chmod 600 /tmp/operate_log/${LOGNAME}/*operate_log* 2>/dev/null
source /etc/profile使用腳本生效
退出用戶,重新登錄
上面腳本在系統的/tmp新建個opreate_log目錄,記錄所有登陸過系統的用戶和IP地址(文件名),每當用戶登錄/退出會創建相應的文件,該文件保存這段用戶登錄時期內操作歷史,可以用這個方法來監測系統的安全性。
root@zsc6:[/tmp/dbasky/root]ls 10.1.80.47 operate_log.2013-10-24_12:53:08 root@zsc6:[/tmp/dbasky/root]cat 10.1.80.47 opreate_log.2013-10-24_12:53:08
參考:
http://www.centoscn.com/CentosSecurity/CentosSafe/2015/0711/5830.html(以上內容轉自此篇文章)
http://www.centoscn.com/CentosSecurity/CentosSafe/2014/0304/2490.html
CentOS通過日誌反查入侵(轉)