Penjelasan terperinci mengenai anti-pencerobohan CentOS melalui log

1 Lihat fail log

Semak fail /var/log/wtmp di Linux untuk menyemak log masuk IP yang mencurigakan

terakhir -f /var/log/wtmp

Fail log ini merekodkan log masuk dan log keluar setiap pengguna secara kekal serta permulaan dan penutupan sistem. Jadi apabila masa operasi sistem meningkat, saiz fail akan menjadi lebih besar dan lebih besar,

Kelajuan peningkatan bergantung pada bilangan kali pengguna sistem log masuk. Fail log ini boleh digunakan untuk melihat rekod log masuk pengguna,

Perintah

last mendapatkan maklumat ini dengan mengakses fail ini dan memaparkan rekod log masuk pengguna dalam susunan terbalik dari belakang ke hadapan juga boleh memaparkan rekod yang sepadan berdasarkan pengguna, terminal tty atau masa.

Semak fail /var/log/secure untuk mencari bilangan log masuk IP yang mencurigakan

2 Skrip menghasilkan sejarah operasi semua pengguna log masuk

Dalam persekitaran sistem Linux, sama ada pengguna root atau pengguna lain, kita boleh melihat sejarah melalui sejarah arahan selepas log masuk ke sistem Namun, jika berbilang orang log masuk ke pelayan, satu hari kerana seseorang tersilap beroperasi Data penting telah dipadamkan. Pada masa ini, adalah tidak bermakna untuk melihat sejarah (perintah: sejarah) (kerana sejarah hanya sah untuk pelaksanaan di bawah pengguna log masuk, malah pengguna akar tidak boleh mendapatkan sejarah pengguna lain). Adakah terdapat sebarang cara untuk merekodkan sejarah operasi yang dilakukan dengan merekodkan alamat IP dan nama pengguna selepas log masuk? Jawapan: Ya.

Ini boleh dicapai dengan menambahkan kod berikut pada /etc/profile:

PS1="`whoami`@`hostname`:"'[$PWD]'
history
USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`
if [ "$USER_IP" = "" ]
then
USER_IP=`hostname`
fi
if [ ! -d /tmp/dbasky ]
then
mkdir /tmp/dbasky
chmod 777 /tmp/dbasky
fi
if [ ! -d /tmp/dbasky/${LOGNAME} ]
then
mkdir /tmp/dbasky/${LOGNAME}
chmod 300 /tmp/dbasky/${LOGNAME}
fi
export HISTSIZE=4096
DT=`date "+%Y-%m-%d_%H:%M:%S"`
export HISTFILE="/tmp/dbasky/${LOGNAME}/${USER_IP} dbasky.$DT"
chmod 600 /tmp/dbasky/${LOGNAME}/*dbasky* 2>/dev/null

source /etc/profile 使用脚本生效

Log keluar sebagai pengguna dan log masuk semula

Skrip di atas mencipta direktori dbasky dalam /tmp sistem untuk merekodkan semua pengguna dan alamat IP (nama fail) yang telah log masuk ke sistem Setiap kali pengguna log masuk/keluar, fail yang sepadan akan disimpan operasi semasa tempoh log masuk pengguna ini, kaedah ini boleh digunakan untuk memantau keselamatan sistem.

root@zsc6:[/tmp/dbasky/root]ls
10.1.80.47 dbasky.2013-10-24_12:53:08
root@zsc6:[/tmp/dbasky/root]cat 10.1.80.47 dbasky.2013-10-24_12:53:08

Atas ialah kandungan terperinci Penjelasan terperinci mengenai anti-pencerobohan CentOS melalui log. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!