CentOS經過日誌反查入侵

CentOS經過日誌反查入侵

centos 系統安全防護 2015年7月11日

327 0 0

1. 查看日誌文件

 

 Linux查看/var/log/wtmp文件查看可疑IP登錄

 last -f /var/log/wtmp

 

該日誌文件永久記錄每一個用戶登陸、註銷及系統的啓動、停機的事件。所以隨着系統正常運行時間的增長，該文件的大小也會愈來愈大，

增長的速度取決於系統用戶登陸的次數。該日誌文件能夠用來查看用戶的登陸記錄，

last命令就經過訪問這個文件得到這些信息，並以反序從後向前顯示用戶的登陸記錄，last也能根據用戶、終端tty或時間顯示相應的記錄。

 

查看/var/log/secure文件尋找可疑IP登錄次數

 

2  腳本生產全部登陸用戶的操做歷史

在linux系統的環境下，無論是root用戶仍是其它的用戶只有登錄系統後用進入操做咱們均可以經過命令history來查看歷史記錄，但是假如一臺服務器多人登錄，一天由於某人誤操做了刪除了重要的數據。這時候經過查看歷史記錄（命令：history）是沒有什麼意義了（由於history只針對登陸用戶下執行有效，即便root用戶也沒法獲得其它用戶histotry歷史）。那有沒有什麼辦法實現經過記錄登錄後的IP地址和某用戶名所操做的歷史記錄呢？答案：有的。

經過在/etc/profile裏面加入如下代碼就能夠實現：

PS1="`whoami`@`hostname`:"'[$PWD]' history USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'` if [ "$USER_IP" = "" ] then USER_IP=`hostname` fi if [ ! -d /tmp/dbasky ] then mkdir /tmp/dbasky chmod 777 /tmp/dbasky fi if [ ! -d /tmp/dbasky/${LOGNAME} ] then mkdir /tmp/dbasky/${LOGNAME} chmod 300 /tmp/dbasky/${LOGNAME} fi export HISTSIZE=4096 DT=`date "+%Y-%m-%d_%H:%M:%S"` export HISTFILE="/tmp/dbasky/${LOGNAME}/${USER_IP} dbasky.$DT" chmod 600 /tmp/dbasky/${LOGNAME}/*dbasky* 2>/dev/null

source /etc/profile 使用腳本生效

退出用戶，從新登陸

上面腳本在系統的/tmp新建個dbasky目錄，記錄全部登錄過系統的用戶和IP地址（文件名），每當用戶登陸/退出會建立相應的文件，該文件保存這段用戶登陸時期內操做歷史，能夠用這個方法來監測系統的安全性。

root@zsc6:[/tmp/dbasky/root]ls

10.1.80.47 dbasky.2013-10-24_12:53:08

root@zsc6:[/tmp/dbasky/root]cat 10.1.80.47 dbasky.2013-10-24_12:53:08