Überprüfen Sie die Datei /var/log/wtmp unter Linux, um die verdächtige IP-Anmeldung zu überprüfen
last -f /var/log/wtmp
Diese Protokolldatei zeichnet dauerhaft die An- und Abmeldung jedes Benutzers sowie das Starten und Herunterfahren des Systems auf. Mit zunehmender Systemverfügbarkeit wird die Dateigröße also immer größer,
Die Geschwindigkeit des Anstiegs hängt davon ab, wie oft sich der Systembenutzer anmeldet. Diese Protokolldatei kann verwendet werden, um die Anmeldedatensätze des Benutzers anzuzeigen,
Der Befehllast erhält diese Informationen durch Zugriff auf diese Datei und zeigt die Anmeldedatensätze des Benutzers in umgekehrter Reihenfolge von hinten nach vorne an. Last kann auch entsprechende Datensätze basierend auf Benutzer, Terminal-TTY oder Zeit anzeigen.
Überprüfen Sie die Datei /var/log/secure, um die Anzahl verdächtiger IP-Anmeldungen zu ermitteln
In der Umgebung des Linux-Systems können wir nach der Anmeldung am System den Verlauf über den Befehlsverlauf anzeigen, unabhängig davon, ob es sich um den Root-Benutzer oder einen anderen handelt funktioniert fälschlicherweise. Wichtige Daten wurden gelöscht. Zu diesem Zeitpunkt ist es sinnlos, den Verlauf anzuzeigen (Befehl: Verlauf) (da der Verlauf nur für die Ausführung unter dem angemeldeten Benutzer gültig ist und selbst der Root-Benutzer den Verlauf anderer Benutzer nicht abrufen kann). Gibt es eine Möglichkeit, den Verlauf der durchgeführten Vorgänge aufzuzeichnen, indem nach der Anmeldung die IP-Adresse und der Benutzername aufgezeichnet werden? Antwort: Ja.
Dies kann erreicht werden, indem der folgende Code zu /etc/profile hinzugefügt wird:
PS1="`whoami`@`hostname`:"'[$PWD]' history USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'` if [ "$USER_IP" = "" ] then USER_IP=`hostname` fi if [ ! -d /tmp/dbasky ] then mkdir /tmp/dbasky chmod 777 /tmp/dbasky fi if [ ! -d /tmp/dbasky/${LOGNAME} ] then mkdir /tmp/dbasky/${LOGNAME} chmod 300 /tmp/dbasky/${LOGNAME} fi export HISTSIZE=4096 DT=`date "+%Y-%m-%d_%H:%M:%S"` export HISTFILE="/tmp/dbasky/${LOGNAME}/${USER_IP} dbasky.$DT" chmod 600 /tmp/dbasky/${LOGNAME}/*dbasky* 2>/dev/null
source /etc/profile 使用脚本生效
Als Benutzer abmelden und erneut anmelden
Das obige Skript erstellt ein dbasky-Verzeichnis im /tmp des Systems, um alle Benutzer und IP-Adressen (Dateinamen) aufzuzeichnen, die sich am System angemeldet haben. Diese Datei wird gespeichert Die Vorgänge während dieses Benutzeranmeldezeitraums können mit dieser Methode zur Überwachung der Sicherheit des Systems verwendet werden.
root@zsc6:[/tmp/dbasky/root]ls 10.1.80.47 dbasky.2013-10-24_12:53:08 root@zsc6:[/tmp/dbasky/root]cat 10.1.80.47 dbasky.2013-10-24_12:53:08
Das obige ist der detaillierte Inhalt vonAusführliche Erläuterung des CentOS-Einbruchschutzes durch Protokolle. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!