Ausführliche Erläuterung des CentOS-Einbruchschutzes durch Protokolle

1 Protokolldatei anzeigen

Überprüfen Sie die Datei /var/log/wtmp unter Linux, um die verdächtige IP-Anmeldung zu überprüfen

last -f /var/log/wtmp

Diese Protokolldatei zeichnet dauerhaft die An- und Abmeldung jedes Benutzers sowie das Starten und Herunterfahren des Systems auf. Mit zunehmender Systemverfügbarkeit wird die Dateigröße also immer größer,

Die Geschwindigkeit des Anstiegs hängt davon ab, wie oft sich der Systembenutzer anmeldet. Diese Protokolldatei kann verwendet werden, um die Anmeldedatensätze des Benutzers anzuzeigen,

Der Befehl

last erhält diese Informationen durch Zugriff auf diese Datei und zeigt die Anmeldedatensätze des Benutzers in umgekehrter Reihenfolge von hinten nach vorne an. Last kann auch entsprechende Datensätze basierend auf Benutzer, Terminal-TTY oder Zeit anzeigen.

Überprüfen Sie die Datei /var/log/secure, um die Anzahl verdächtiger IP-Anmeldungen zu ermitteln

2 Das Skript erstellt den Vorgangsverlauf aller angemeldeten Benutzer

In der Umgebung des Linux-Systems können wir nach der Anmeldung am System den Verlauf über den Befehlsverlauf anzeigen, unabhängig davon, ob es sich um den Root-Benutzer oder einen anderen handelt funktioniert fälschlicherweise. Wichtige Daten wurden gelöscht. Zu diesem Zeitpunkt ist es sinnlos, den Verlauf anzuzeigen (Befehl: Verlauf) (da der Verlauf nur für die Ausführung unter dem angemeldeten Benutzer gültig ist und selbst der Root-Benutzer den Verlauf anderer Benutzer nicht abrufen kann). Gibt es eine Möglichkeit, den Verlauf der durchgeführten Vorgänge aufzuzeichnen, indem nach der Anmeldung die IP-Adresse und der Benutzername aufgezeichnet werden? Antwort: Ja.

Dies kann erreicht werden, indem der folgende Code zu /etc/profile hinzugefügt wird:

PS1="`whoami`@`hostname`:"'[$PWD]'
history
USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`
if [ "$USER_IP" = "" ]
then
USER_IP=`hostname`
fi
if [ ! -d /tmp/dbasky ]
then
mkdir /tmp/dbasky
chmod 777 /tmp/dbasky
fi
if [ ! -d /tmp/dbasky/${LOGNAME} ]
then
mkdir /tmp/dbasky/${LOGNAME}
chmod 300 /tmp/dbasky/${LOGNAME}
fi
export HISTSIZE=4096
DT=`date "+%Y-%m-%d_%H:%M:%S"`
export HISTFILE="/tmp/dbasky/${LOGNAME}/${USER_IP} dbasky.$DT"
chmod 600 /tmp/dbasky/${LOGNAME}/*dbasky* 2>/dev/null

source /etc/profile 使用脚本生效

Als Benutzer abmelden und erneut anmelden

Das obige Skript erstellt ein dbasky-Verzeichnis im /tmp des Systems, um alle Benutzer und IP-Adressen (Dateinamen) aufzuzeichnen, die sich am System angemeldet haben. Diese Datei wird gespeichert Die Vorgänge während dieses Benutzeranmeldezeitraums können mit dieser Methode zur Überwachung der Sicherheit des Systems verwendet werden.

root@zsc6:[/tmp/dbasky/root]ls
10.1.80.47 dbasky.2013-10-24_12:53:08
root@zsc6:[/tmp/dbasky/root]cat 10.1.80.47 dbasky.2013-10-24_12:53:08

Das obige ist der detaillierte Inhalt vonAusführliche Erläuterung des CentOS-Einbruchschutzes durch Protokolle. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!