CentOS系统通过日志反查是否被入侵

一、查看日志文件

Linux查看/var/log/wtmp文件查看可疑IP登陆

 last -f /var/log/wtmp

该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件。因此随着系统正常运行时间的增加,该文件的大小也会越来越大,

增加的速度取决于系统用户登录的次数。该日志文件可以用来查看用户的登录记录,last命令就通过访问这个文件获得这些信息,并以反序从后向前显示用户的登录记录,last也能根据用户、终端tty或时间显示相应的记录。

查看/var/log/secure文件寻找可疑IP登陆次数

二、脚本生产所有登录用户的操作历史

在linux系统的环境下,不管是root用户还是其它的用户只有登陆系统后用进入操作我们都可以通过命令history来查看历史记录,可是假如一台服务器多人登陆,一天因为某人误操作了删除了重要的数据。这时候通过查看历史记录(命令:history)是没有什么意义了(因为history只针对登录用户下执行有效,即使root用户也无法得到其它用户histotry历史)。

那有没有什么办法实现通过记录登陆后的IP地址和某用户名所操作的历史记录呢?

答案:有的。

通过在/etc/profile里面加入以下代码就可以实现:

PS1="`whoami`@`hostname`:"'[$PWD]'
history
USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`
if [ "$USER_IP" = "" ]
then
USER_IP=`hostname`
fi
if [ ! -d /tmp/dbasky ]
then
mkdir /tmp/dbasky
chmod 777 /tmp/dbasky
fi
if [ ! -d /tmp/dbasky/${LOGNAME} ]
then
mkdir /tmp/dbasky/${LOGNAME}
chmod 300 /tmp/dbasky/${LOGNAME}
fi
export HISTSIZE=4096
DT=`date "+%Y-%m-%d_%H:%M:%S"`
export HISTFILE="/tmp/dbasky/${LOGNAME}/${USER_IP} dbasky.$DT"
chmod 600 /tmp/dbasky/${LOGNAME}/*dbasky* 2>/dev/null
source /etc/profile 使用脚本生效

退出用户,重新登录

上面脚本在系统的/tmp新建个dbasky目录,记录所有登陆过系统的用户和IP地址(文件名),每当用户登录/退出会创建相应的文件,该文件保存这段用户登录时期内操作历史,可以用这个方法来监测系统的安全性。

root@zsc6:[/tmp/dbasky/root]ls

10.1.80.47 dbasky.2013-10-24_12:53:08

root@zsc6:[/tmp/dbasky/root]cat 10.1.80.47 dbasky.2013-10-24_12:53:08

三、总结

以上就是这篇文章的全部内容,希望对大家维护服务器安全能有所帮助,如果有疑问可以留言交流。

(0)

相关推荐

  • CentOS的图形安装及初始环境设置教程

    CentOS的图形安装及初始环境设置教程

    对于安装,我们的原则就是在初期按装时采用最小安装,这样使得初期状态显得干净而简洁.在以后的配置中,需要哪些组件的时候,再通过CentOS的"yum"命令(前提需要首先接入互联网)来在线安装. CentOS 4.4 的下载及安装光盘的制作 [第一步] 从镜像站点上下载ISO的镜像文件     CD 1 : http://mirror.tini4u.net/centos/ ... .4-i386-bin1of4.iso CD 2 : http://mirror.tini4u.net/cen

  • centos系统升级python 2.7.3

    首先下载源tar包 可利用linux自带下载工具wget下载,如下所示: wget http://www.python.org/ftp/python/2.7.3/Python-2.7.3.tgz 下载完成后到下载目录下,解压 tar -zxvf Python-2.7.3.tgz 进入解压缩后的文件夹 cd Python-2.7.3 在编译前先在/usr/local建一个文件夹python27(作为python的安装路径,以免覆盖老的版本) mkdir /usr/local/python2.7.3

  • 在CentOS上MySQL数据库服务器配置方法

    无意中还找到了CentOS的专业论坛,记住:http://www.centospub.com 于是,开始的学习配置 本次环境: CentOS系统, mysql-server(版本忘了,因为是使用yum安装的) 过程如下(转载,根据本人安装详细要求,略加修改) : 在提到网站构架的时候,我们经常能够看到"LAMP"的说法,它就是"Linux + Apache + MySQL + PHP". MySQL+PHP的协同成功案例已经很多了.比如国外的PHPBB,VBB,国内

  • CentOS下.htaccess不起作用的解决方法

    结果点击一个链接直接404 Not Found.悲剧,看来Apache的Rewrite部分有问题了,完全无视掉了.htaccess文件!经过检查Apache的模块,发现Rewrite模块是开启的状态,看来是httpd.conf文件中的配置有点问题了.回想起之前在Ubuntu Server下配置Rewrite也是启用了一个叫做"AllowOverride"的属性为"All"才正确开启了Rewrite,这次手动配置VirtualHost的时候并没有写上这两句,看来就是这

  • centos下更新Python版本的步骤

    安装完CentOS5.9(Final)后,执行#Python与#python -V,看到版本号是2.4.3,很老了,而且之前写的都是跑在python3.X上面的,3.X和2.X有很多不同,有兴趣的朋友可以参考下这篇文章: http://www.jb51.net/article/34011.htm 更新python千万不要把老版本的删除!新老版本是可以共存的,很多基本的命令.软件包都要依赖预装的老版本python的,比如yum. 更新python: 第1步:更新gcc,因为gcc版本太老会导致新版

  • centos系统下LNMP环境一键安装

    首先,咱们用SSH登陆到操作系统中- 然后下载安装包 复制代码 代码如下: wget http://catlnmp.googlecode.com/files/lnmp1.1.zip 然后我们解压 复制代码 代码如下: unzip lnmp1.1.zip 有些没有unzip的,我们这样 复制代码 代码如下: yum install unzip 然后我们跳转到该目录 复制代码 代码如下: cd lnmp 然后我们给文件添加权限: 复制代码 代码如下: chmod +x install.sh apc.

  • linux服务器用centos还是ubuntu系统

    linux服务器系统多使用CentOS.uBuntu.Gentoo.FreeBSD.Debian. 服务器操作系统应该选择 Debian/Ubuntu 还是 CentOS ,CENTOS现在市场占有率第一了 [小议]centos与ubuntu的区别 CentOS(Community ENTerprise Operating System)是Linux发行版之一,它是来自于Red Hat Enterprise Linux依照开放源代码规定释出的源代码所编译而成.由于出自同样的源代码,因此有些要求高

  • CentOS 6.3编译安装LAMP环境笔记

    CentOS 6.3编译安装LAMP环境笔记

    最近抽空在虚拟机上测试成功了LAMP各个最新版本的整合编译安装,算是把之前的博文整合精简,以下内容均在CENTOS6.3(安装minimal desktop和默认开发包)下测试安装成功,并做了相应优化配置,如有遗漏,还请留言指教.   LINUX操作系统:centOS6.3 64bit(安装了系统默认开发包) APACHE:httpd-2.4.4 MYSQL:mysql-5.6.10 PHP:php-5.4.13 注:推荐安装centos6.3系统时,在系统安装向导中.将默认开发包勾上,避免后期

  • 64位CentOS 6.0下搭建LAMP环境详细步骤

    1.确认搭建LAMP所需要的环境是否已经安装 [root@centos6 ~]# rpm -q make gcc gcc-c++ zlib-devel libaio 备注:安装libpng时候需要zlib-devel              安装mysql时候需要libaio 2.如果没安装则yum安装 [root@centos6 ~]# yum install make gcc gcc-c++ zlib-devel libaio -y 3.由于要使用编译安装,所以查看httpd.mysql.

  • CentOS 5.1 4.6最新官方下载地址列表

    centos i386 5.1Actual Country - http://mirror.centos.net.cn/5.1/isos/i386/http://centos.candishosting.com.cn/5.1/isos/i386/http://mirror.be10.com/centos/5.1/isos/i386/http://ftp.hostrino.com/pub/centos/5.1/isos/i386/http://centos.ustc.edu.cn/centos/5

  • 比较详细的基于CentOS的WWW服务器架设指南第1/2页

    一.系统约定 1.系统环境 Linux:CentOS-4.4.ServerCD Apache:2.2.4 MySQL:4.0.26 PHP:4.3.11 ZendOptimizer:3.2.2 phpMyAdmin:2.10.0.2 2.源码包存放位置 :/usr/local/src  #为什么一定要在/usr/local/src/下进行Tarball呢?这仅是约定俗成的,因为如此一来,大家都安装在这个地方,以后主机的维护与移交都很简单,并且对于将来在主机上面进行"升级"与"

随机推荐