CentOS通過日志反查入侵

1. 查看日志文件

?

?Linux查看/var/log/wtmp文件查看可疑IP登陸

?last -f /var/log/wtmp

?

該日志文件永久記錄每個用戶登錄、注銷及系統的啟動、停機的事件。愛掏網 - it200.com因此隨著系統正常運行時間的增加，該文件的大小也會越來越大，

增加的速度取決于系統用戶登錄的次數。愛掏網 - it200.com該日志文件可以用來查看用戶的登錄記錄，

last命令就通過訪問這個文件獲得這些信息，并以反序從后向前顯示用戶的登錄記錄，last也能根據用戶、終端tty或時間顯示相應的記錄。愛掏網 - it200.com

?

查看/var/log/secure文件尋找可疑IP登陸次數

?

2? 腳本生產所有登錄用戶的操作歷史

在linux系統的環境下，不管是root用戶還是其它的用戶只有登陸系統后用進入操作我們都可以通過命令history來查看歷史記錄，可是假如一臺服務器多人登陸，一天因為某人誤操作了刪除了重要的數據。愛掏網 - it200.com這時候通過查看歷史記錄（命令：history）是沒有什么意義了（因為history只針對登錄用戶下執行有效，即使root用戶也無法得到其它用戶histotry歷史）。愛掏網 - it200.com那有沒有什么辦法實現通過記錄登陸后的IP地址和某用戶名所操作的歷史記錄呢？答案：有的。愛掏網 - it200.com

通過在/etc/profile里面加入以下代碼就可以實現：

source /etc/profile 使用腳本生效

退出用戶，重新登錄

?面腳本在系統的/tmp新建個dbasky目錄，記錄所有登陸過系統的用戶和IP地址（文件名），每當用戶登錄/退出會創建相應的文件，該文件保存這段用戶登錄時期內操作歷史，可以用這個方法來監測系統的安全性。愛掏網 - it200.com

root@zsc6:[/tmp/dbasky/root]ls

10.1.80.47?dbasky.2024-10-24_12:53:08

root@zsc6:[/tmp/dbasky/root]cat?10.1.80.47?dbasky.2024-10-24_12:53:08