Heim > System-Tutorial > LINUX > Ausführliche Erläuterung des CentOS-Einbruchschutzes durch Protokolle

Ausführliche Erläuterung des CentOS-Einbruchschutzes durch Protokolle

WBOY
Freigeben: 2024-06-01 18:25:01
Original
743 Leute haben es durchsucht
1 Protokolldatei anzeigen

Überprüfen Sie die Datei /var/log/wtmp unter Linux, um die verdächtige IP-Anmeldung zu überprüfen

last -f /var/log/wtmp

Ausführliche Erläuterung des CentOS-Einbruchschutzes durch Protokolle

Diese Protokolldatei zeichnet dauerhaft die An- und Abmeldung jedes Benutzers sowie das Starten und Herunterfahren des Systems auf. Mit zunehmender Systemverfügbarkeit wird die Dateigröße also immer größer,

Die Geschwindigkeit des Anstiegs hängt davon ab, wie oft sich der Systembenutzer anmeldet. Diese Protokolldatei kann verwendet werden, um die Anmeldedatensätze des Benutzers anzuzeigen,

Der Befehl

last erhält diese Informationen durch Zugriff auf diese Datei und zeigt die Anmeldedatensätze des Benutzers in umgekehrter Reihenfolge von hinten nach vorne an. Last kann auch entsprechende Datensätze basierend auf Benutzer, Terminal-TTY oder Zeit anzeigen.

Überprüfen Sie die Datei /var/log/secure, um die Anzahl verdächtiger IP-Anmeldungen zu ermitteln

Ausführliche Erläuterung des CentOS-Einbruchschutzes durch Protokolle

2 Das Skript erstellt den Vorgangsverlauf aller angemeldeten Benutzer

In der Umgebung des Linux-Systems können wir nach der Anmeldung am System den Verlauf über den Befehlsverlauf anzeigen, unabhängig davon, ob es sich um den Root-Benutzer oder einen anderen handelt funktioniert fälschlicherweise. Wichtige Daten wurden gelöscht. Zu diesem Zeitpunkt ist es sinnlos, den Verlauf anzuzeigen (Befehl: Verlauf) (da der Verlauf nur für die Ausführung unter dem angemeldeten Benutzer gültig ist und selbst der Root-Benutzer den Verlauf anderer Benutzer nicht abrufen kann). Gibt es eine Möglichkeit, den Verlauf der durchgeführten Vorgänge aufzuzeichnen, indem nach der Anmeldung die IP-Adresse und der Benutzername aufgezeichnet werden? Antwort: Ja.

Dies kann erreicht werden, indem der folgende Code zu /etc/profile hinzugefügt wird:

PS1="`whoami`@`hostname`:"'[$PWD]'
history
USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`
if [ "$USER_IP" = "" ]
then
USER_IP=`hostname`
fi
if [ ! -d /tmp/dbasky ]
then
mkdir /tmp/dbasky
chmod 777 /tmp/dbasky
fi
if [ ! -d /tmp/dbasky/${LOGNAME} ]
then
mkdir /tmp/dbasky/${LOGNAME}
chmod 300 /tmp/dbasky/${LOGNAME}
fi
export HISTSIZE=4096
DT=`date "+%Y-%m-%d_%H:%M:%S"`
export HISTFILE="/tmp/dbasky/${LOGNAME}/${USER_IP} dbasky.$DT"
chmod 600 /tmp/dbasky/${LOGNAME}/*dbasky* 2>/dev/null
Nach dem Login kopieren
source /etc/profile 使用脚本生效
Nach dem Login kopieren

Als Benutzer abmelden und erneut anmelden

Das obige Skript erstellt ein dbasky-Verzeichnis im /tmp des Systems, um alle Benutzer und IP-Adressen (Dateinamen) aufzuzeichnen, die sich am System angemeldet haben. Diese Datei wird gespeichert Die Vorgänge während dieses Benutzeranmeldezeitraums können mit dieser Methode zur Überwachung der Sicherheit des Systems verwendet werden.

root@zsc6:[/tmp/dbasky/root]ls
10.1.80.47 dbasky.2013-10-24_12:53:08
root@zsc6:[/tmp/dbasky/root]cat 10.1.80.47 dbasky.2013-10-24_12:53:08
Nach dem Login kopieren

Das obige ist der detaillierte Inhalt vonAusführliche Erläuterung des CentOS-Einbruchschutzes durch Protokolle. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Quelle:linuxprobe.com
Erklärung dieser Website
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn
Beliebte Tutorials
Mehr>
Neueste Downloads
Mehr>
Web-Effekte
Quellcode der Website
Website-Materialien
Frontend-Vorlage