Maison > Article > Tutoriel système > Explication détaillée de l'anti-intrusion CentOS via les journaux
Vérifiez le fichier /var/log/wtmp sous Linux pour vérifier la connexion IP suspecte
dernier -f /var/log/wtmp
Ce fichier journal enregistre en permanence la connexion et la déconnexion de chaque utilisateur ainsi que le démarrage et l'arrêt du système. Ainsi, à mesure que la disponibilité du système augmente, la taille du fichier deviendra de plus en plus grande,
La vitesse d'augmentation dépend du nombre de fois que l'utilisateur du système se connecte. Ce fichier journal peut être utilisé pour afficher les enregistrements de connexion de l'utilisateur,
La commandelast obtient ces informations en accédant à ce fichier et affiche les enregistrements de connexion de l'utilisateur dans l'ordre inverse de l'arrière vers l'avant. Last peut également afficher les enregistrements correspondants en fonction de l'utilisateur, du terminal ou de l'heure.
Vérifiez le fichier /var/log/secure pour trouver le nombre de connexions IP suspectes
Dans l'environnement du système Linux, qu'il s'agisse de l'utilisateur root ou d'autres utilisateurs, nous pouvons afficher l'historique via l'historique des commandes après la connexion au système. Cependant, si plusieurs personnes se connectent à un serveur, un jour à cause de quelqu'un. fonctionne par erreur Des données importantes ont été supprimées. Pour le moment, cela n'a aucun sens d'afficher l'historique (commande : history) (car l'historique n'est valable que pour une exécution sous l'utilisateur connecté, et même l'utilisateur root ne peut pas obtenir l'historique des autres utilisateurs). Existe-t-il un moyen d'enregistrer l'historique des opérations effectuées en enregistrant l'adresse IP et le nom d'utilisateur après la connexion ? Réponse : Oui.
Cela peut être réalisé en ajoutant le code suivant à /etc/profile :
PS1="`whoami`@`hostname`:"'[$PWD]' history USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'` if [ "$USER_IP" = "" ] then USER_IP=`hostname` fi if [ ! -d /tmp/dbasky ] then mkdir /tmp/dbasky chmod 777 /tmp/dbasky fi if [ ! -d /tmp/dbasky/${LOGNAME} ] then mkdir /tmp/dbasky/${LOGNAME} chmod 300 /tmp/dbasky/${LOGNAME} fi export HISTSIZE=4096 DT=`date "+%Y-%m-%d_%H:%M:%S"` export HISTFILE="/tmp/dbasky/${LOGNAME}/${USER_IP} dbasky.$DT" chmod 600 /tmp/dbasky/${LOGNAME}/*dbasky* 2>/dev/null
source /etc/profile 使用脚本生效
Déconnectez-vous en tant qu'utilisateur et reconnectez-vous
Le script ci-dessus crée un répertoire dbasky dans le système /tmp pour enregistrer tous les utilisateurs et adresses IP (noms de fichiers) qui se sont connectés au système chaque fois qu'un utilisateur se connecte/se déconnecte, un fichier correspondant est créé. les opérations pendant cette période de connexion utilisateur, cette méthode peut être utilisée pour surveiller la sécurité du système.
root@zsc6:[/tmp/dbasky/root]ls 10.1.80.47 dbasky.2013-10-24_12:53:08 root@zsc6:[/tmp/dbasky/root]cat 10.1.80.47 dbasky.2013-10-24_12:53:08
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!