Semak fail /var/log/wtmp di Linux untuk menyemak log masuk IP yang mencurigakan
terakhir -f /var/log/wtmp
Fail log ini merekodkan log masuk dan log keluar setiap pengguna secara kekal serta permulaan dan penutupan sistem. Jadi apabila masa operasi sistem meningkat, saiz fail akan menjadi lebih besar dan lebih besar,
Kelajuan peningkatan bergantung pada bilangan kali pengguna sistem log masuk. Fail log ini boleh digunakan untuk melihat rekod log masuk pengguna,
Perintahlast mendapatkan maklumat ini dengan mengakses fail ini dan memaparkan rekod log masuk pengguna dalam susunan terbalik dari belakang ke hadapan juga boleh memaparkan rekod yang sepadan berdasarkan pengguna, terminal tty atau masa.
Semak fail /var/log/secure untuk mencari bilangan log masuk IP yang mencurigakan
Dalam persekitaran sistem Linux, sama ada pengguna root atau pengguna lain, kita boleh melihat sejarah melalui sejarah arahan selepas log masuk ke sistem Namun, jika berbilang orang log masuk ke pelayan, satu hari kerana seseorang tersilap beroperasi Data penting telah dipadamkan. Pada masa ini, adalah tidak bermakna untuk melihat sejarah (perintah: sejarah) (kerana sejarah hanya sah untuk pelaksanaan di bawah pengguna log masuk, malah pengguna akar tidak boleh mendapatkan sejarah pengguna lain). Adakah terdapat sebarang cara untuk merekodkan sejarah operasi yang dilakukan dengan merekodkan alamat IP dan nama pengguna selepas log masuk? Jawapan: Ya.
Ini boleh dicapai dengan menambahkan kod berikut pada /etc/profile:
PS1="`whoami`@`hostname`:"'[$PWD]' history USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'` if [ "$USER_IP" = "" ] then USER_IP=`hostname` fi if [ ! -d /tmp/dbasky ] then mkdir /tmp/dbasky chmod 777 /tmp/dbasky fi if [ ! -d /tmp/dbasky/${LOGNAME} ] then mkdir /tmp/dbasky/${LOGNAME} chmod 300 /tmp/dbasky/${LOGNAME} fi export HISTSIZE=4096 DT=`date "+%Y-%m-%d_%H:%M:%S"` export HISTFILE="/tmp/dbasky/${LOGNAME}/${USER_IP} dbasky.$DT" chmod 600 /tmp/dbasky/${LOGNAME}/*dbasky* 2>/dev/null
source /etc/profile 使用脚本生效
Log keluar sebagai pengguna dan log masuk semula
Skrip di atas mencipta direktori dbasky dalam /tmp sistem untuk merekodkan semua pengguna dan alamat IP (nama fail) yang telah log masuk ke sistem Setiap kali pengguna log masuk/keluar, fail yang sepadan akan disimpan operasi semasa tempoh log masuk pengguna ini, kaedah ini boleh digunakan untuk memantau keselamatan sistem.
root@zsc6:[/tmp/dbasky/root]ls 10.1.80.47 dbasky.2013-10-24_12:53:08 root@zsc6:[/tmp/dbasky/root]cat 10.1.80.47 dbasky.2013-10-24_12:53:08
Atas ialah kandungan terperinci Penjelasan terperinci mengenai anti-pencerobohan CentOS melalui log. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!