CentOS经过日志反查入侵

CentOS经过日志反查入侵

centos 系统安全防护 2015年7月11日

327 0 0

1. 查看日志文件

 

 Linux查看/var/log/wtmp文件查看可疑IP登录

 last -f /var/log/wtmp

 

该日志文件永久记录每一个用户登陆、注销及系统的启动、停机的事件。所以随着系统正常运行时间的增长，该文件的大小也会愈来愈大，

增长的速度取决于系统用户登陆的次数。该日志文件能够用来查看用户的登陆记录，

last命令就经过访问这个文件得到这些信息，并以反序从后向前显示用户的登陆记录，last也能根据用户、终端tty或时间显示相应的记录。

 

查看/var/log/secure文件寻找可疑IP登录次数

 

2  脚本生产全部登陆用户的操做历史

在linux系统的环境下，无论是root用户仍是其它的用户只有登录系统后用进入操做咱们均可以经过命令history来查看历史记录，但是假如一台服务器多人登录，一天由于某人误操做了删除了重要的数据。这时候经过查看历史记录（命令：history）是没有什么意义了（由于history只针对登陆用户下执行有效，即便root用户也没法获得其它用户histotry历史）。那有没有什么办法实现经过记录登录后的IP地址和某用户名所操做的历史记录呢？答案：有的。

经过在/etc/profile里面加入如下代码就能够实现：

PS1="`whoami`@`hostname`:"'[$PWD]' history USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'` if [ "$USER_IP" = "" ] then USER_IP=`hostname` fi if [ ! -d /tmp/dbasky ] then mkdir /tmp/dbasky chmod 777 /tmp/dbasky fi if [ ! -d /tmp/dbasky/${LOGNAME} ] then mkdir /tmp/dbasky/${LOGNAME} chmod 300 /tmp/dbasky/${LOGNAME} fi export HISTSIZE=4096 DT=`date "+%Y-%m-%d_%H:%M:%S"` export HISTFILE="/tmp/dbasky/${LOGNAME}/${USER_IP} dbasky.$DT" chmod 600 /tmp/dbasky/${LOGNAME}/*dbasky* 2>/dev/null

source /etc/profile 使用脚本生效

退出用户，从新登陆

上面脚本在系统的/tmp新建个dbasky目录，记录全部登录过系统的用户和IP地址（文件名），每当用户登陆/退出会建立相应的文件，该文件保存这段用户登陆时期内操做历史，能够用这个方法来监测系统的安全性。

root@zsc6:[/tmp/dbasky/root]ls

10.1.80.47 dbasky.2013-10-24_12:53:08

root@zsc6:[/tmp/dbasky/root]cat 10.1.80.47 dbasky.2013-10-24_12:53:08