Maison > Tutoriel système > Linux > le corps du texte

Explication détaillée de l'anti-intrusion CentOS via les journaux

WBOY
Libérer: 2024-06-01 18:25:01
original
702 Les gens l'ont consulté
1 Afficher le fichier journal

Vérifiez le fichier /var/log/wtmp sous Linux pour vérifier la connexion IP suspecte

dernier -f /var/log/wtmp

Explication détaillée de lanti-intrusion CentOS via les journaux

Ce fichier journal enregistre en permanence la connexion et la déconnexion de chaque utilisateur ainsi que le démarrage et l'arrêt du système. Ainsi, à mesure que la disponibilité du système augmente, la taille du fichier deviendra de plus en plus grande,

La vitesse d'augmentation dépend du nombre de fois que l'utilisateur du système se connecte. Ce fichier journal peut être utilisé pour afficher les enregistrements de connexion de l'utilisateur,

La commande

last obtient ces informations en accédant à ce fichier et affiche les enregistrements de connexion de l'utilisateur dans l'ordre inverse de l'arrière vers l'avant. Last peut également afficher les enregistrements correspondants en fonction de l'utilisateur, du terminal ou de l'heure.

Vérifiez le fichier /var/log/secure pour trouver le nombre de connexions IP suspectes

Explication détaillée de lanti-intrusion CentOS via les journaux

2 Le script produit l'historique des opérations de tous les utilisateurs connectés

Dans l'environnement du système Linux, qu'il s'agisse de l'utilisateur root ou d'autres utilisateurs, nous pouvons afficher l'historique via l'historique des commandes après la connexion au système. Cependant, si plusieurs personnes se connectent à un serveur, un jour à cause de quelqu'un. fonctionne par erreur Des données importantes ont été supprimées. Pour le moment, cela n'a aucun sens d'afficher l'historique (commande : history) (car l'historique n'est valable que pour une exécution sous l'utilisateur connecté, et même l'utilisateur root ne peut pas obtenir l'historique des autres utilisateurs). Existe-t-il un moyen d'enregistrer l'historique des opérations effectuées en enregistrant l'adresse IP et le nom d'utilisateur après la connexion ? Réponse : Oui.

Cela peut être réalisé en ajoutant le code suivant à /etc/profile :

PS1="`whoami`@`hostname`:"'[$PWD]'
history
USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`
if [ "$USER_IP" = "" ]
then
USER_IP=`hostname`
fi
if [ ! -d /tmp/dbasky ]
then
mkdir /tmp/dbasky
chmod 777 /tmp/dbasky
fi
if [ ! -d /tmp/dbasky/${LOGNAME} ]
then
mkdir /tmp/dbasky/${LOGNAME}
chmod 300 /tmp/dbasky/${LOGNAME}
fi
export HISTSIZE=4096
DT=`date "+%Y-%m-%d_%H:%M:%S"`
export HISTFILE="/tmp/dbasky/${LOGNAME}/${USER_IP} dbasky.$DT"
chmod 600 /tmp/dbasky/${LOGNAME}/*dbasky* 2>/dev/null
Copier après la connexion
source /etc/profile 使用脚本生效
Copier après la connexion

Déconnectez-vous en tant qu'utilisateur et reconnectez-vous

Le script ci-dessus crée un répertoire dbasky dans le système /tmp pour enregistrer tous les utilisateurs et adresses IP (noms de fichiers) qui se sont connectés au système chaque fois qu'un utilisateur se connecte/se déconnecte, un fichier correspondant est créé. les opérations pendant cette période de connexion utilisateur, cette méthode peut être utilisée pour surveiller la sécurité du système.

root@zsc6:[/tmp/dbasky/root]ls
10.1.80.47 dbasky.2013-10-24_12:53:08
root@zsc6:[/tmp/dbasky/root]cat 10.1.80.47 dbasky.2013-10-24_12:53:08
Copier après la connexion

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

source:linuxprobe.com
Déclaration de ce site Web
Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn
Tutoriels populaires
Plus>
Derniers téléchargements
Plus>
effets Web
Code source du site Web
Matériel du site Web
Modèle frontal
À propos de nous Clause de non-responsabilité Sitemap
Site Web PHP chinois:Formation PHP en ligne sur le bien-être public,Aidez les apprenants PHP à grandir rapidement!