Explication détaillée de l'anti-intrusion CentOS via les journaux

1 Afficher le fichier journal

Vérifiez le fichier /var/log/wtmp sous Linux pour vérifier la connexion IP suspecte

dernier -f /var/log/wtmp

Ce fichier journal enregistre en permanence la connexion et la déconnexion de chaque utilisateur ainsi que le démarrage et l'arrêt du système. Ainsi, à mesure que la disponibilité du système augmente, la taille du fichier deviendra de plus en plus grande,

La vitesse d'augmentation dépend du nombre de fois que l'utilisateur du système se connecte. Ce fichier journal peut être utilisé pour afficher les enregistrements de connexion de l'utilisateur,

La commande

last obtient ces informations en accédant à ce fichier et affiche les enregistrements de connexion de l'utilisateur dans l'ordre inverse de l'arrière vers l'avant. Last peut également afficher les enregistrements correspondants en fonction de l'utilisateur, du terminal ou de l'heure.

Vérifiez le fichier /var/log/secure pour trouver le nombre de connexions IP suspectes

2 Le script produit l'historique des opérations de tous les utilisateurs connectés

Dans l'environnement du système Linux, qu'il s'agisse de l'utilisateur root ou d'autres utilisateurs, nous pouvons afficher l'historique via l'historique des commandes après la connexion au système. Cependant, si plusieurs personnes se connectent à un serveur, un jour à cause de quelqu'un. fonctionne par erreur Des données importantes ont été supprimées. Pour le moment, cela n'a aucun sens d'afficher l'historique (commande : history) (car l'historique n'est valable que pour une exécution sous l'utilisateur connecté, et même l'utilisateur root ne peut pas obtenir l'historique des autres utilisateurs). Existe-t-il un moyen d'enregistrer l'historique des opérations effectuées en enregistrant l'adresse IP et le nom d'utilisateur après la connexion ? Réponse : Oui.

Cela peut être réalisé en ajoutant le code suivant à /etc/profile :

PS1="`whoami`@`hostname`:"'[$PWD]'
history
USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`
if [ "$USER_IP" = "" ]
then
USER_IP=`hostname`
fi
if [ ! -d /tmp/dbasky ]
then
mkdir /tmp/dbasky
chmod 777 /tmp/dbasky
fi
if [ ! -d /tmp/dbasky/${LOGNAME} ]
then
mkdir /tmp/dbasky/${LOGNAME}
chmod 300 /tmp/dbasky/${LOGNAME}
fi
export HISTSIZE=4096
DT=`date "+%Y-%m-%d_%H:%M:%S"`
export HISTFILE="/tmp/dbasky/${LOGNAME}/${USER_IP} dbasky.$DT"
chmod 600 /tmp/dbasky/${LOGNAME}/*dbasky* 2>/dev/null

source /etc/profile 使用脚本生效

Déconnectez-vous en tant qu'utilisateur et reconnectez-vous

Le script ci-dessus crée un répertoire dbasky dans le système /tmp pour enregistrer tous les utilisateurs et adresses IP (noms de fichiers) qui se sont connectés au système chaque fois qu'un utilisateur se connecte/se déconnecte, un fichier correspondant est créé. les opérations pendant cette période de connexion utilisateur, cette méthode peut être utilisée pour surveiller la sécurité du système.

root@zsc6:[/tmp/dbasky/root]ls
10.1.80.47 dbasky.2013-10-24_12:53:08
root@zsc6:[/tmp/dbasky/root]cat 10.1.80.47 dbasky.2013-10-24_12:53:08

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!