詳解CentOS透過日誌反查入侵

1 查看日誌檔

# Linux檢視/var/log/wtmp檔案查看可疑IP登陸

last -f /var/log/wtmp

#此日誌檔案永久記錄每個使用者登入、登出及系統的啟動、停機的事件。因此隨著系統正常運作時間的增加，該檔案的大小也會越來越大，

增加的速度取決於系統使用者登入的次數。此日誌檔案可以用來查看使用者的登入記錄，

last指令就透過存取這個檔案來獲得這些訊息，並以反序從後向前顯示使用者的登入記錄，last也能根據使用者、終端tty或時間顯示對應的記錄。

檢視/var/log/secure檔案尋找可疑IP登陸次數

#2 腳本生產所有登入使用者的操作歷史

在linux系統的環境下，不管是root用戶還是其它的用戶只有登陸系統後用進入操作我們都可以透過命令history來查看歷史記錄，可是假如一台伺服器多人登陸，一天因為某人誤操作了刪除了重要的數據。這時候透過查看歷史記錄（指令：history）是沒有什麼意義了（因為history只針對登入使用者下執行有效，即使root使用者也無法得到其它使用者histotry歷史）。那有沒有辦法實現透過記錄登陸後的IP位址和某用戶名所操作的歷史記錄呢？答案：有的。

在/etc/profile裡面加入以下程式碼就可以實現：

PS1="`whoami`@`hostname`:"'[$PWD]'
history
USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`
if [ "$USER_IP" = "" ]
then
USER_IP=`hostname`
fi
if [ ! -d /tmp/dbasky ]
then
mkdir /tmp/dbasky
chmod 777 /tmp/dbasky
fi
if [ ! -d /tmp/dbasky/${LOGNAME} ]
then
mkdir /tmp/dbasky/${LOGNAME}
chmod 300 /tmp/dbasky/${LOGNAME}
fi
export HISTSIZE=4096
DT=`date "+%Y-%m-%d_%H:%M:%S"`
export HISTFILE="/tmp/dbasky/${LOGNAME}/${USER_IP} dbasky.$DT"
chmod 600 /tmp/dbasky/${LOGNAME}/*dbasky* 2>/dev/null

source /etc/profile 使用脚本生效

登出用戶，重新登入

上面腳本在系統的/tmp新建個dbasky目錄，記錄所有登陸過系統的使用者和IP位址（檔案名稱），每當使用者登入/登出就會建立對應的文件，該檔案會保存這段使用者登入時期內部操作歷史，可以用這個方法來監測系統的安全性。

root@zsc6:[/tmp/dbasky/root]ls
10.1.80.47 dbasky.2013-10-24_12:53:08
root@zsc6:[/tmp/dbasky/root]cat 10.1.80.47 dbasky.2013-10-24_12:53:08

以上是詳解CentOS透過日誌反查入侵的詳細內容。更多資訊請關注PHP中文網其他相關文章！