linux系統管理(日誌)
阿新 • • 發佈:2021-02-02
技術標籤:linux系統
文章目錄
linux日誌檔案說明:
/var/log/message 系統啟動後的資訊和錯誤日誌,是Red Hat Linux中最常用的日誌之一
/var/log/secure 與安全相關的日誌資訊
/var/log/maillog 與郵件相關的日誌資訊
/var/log/cron 與定時任務相關的日誌資訊
/var linux ssh遠端連線、登入相關:
檢視當前的系統登入使用者:
users
users命令只是簡單地輸出當前登入的使用者名稱稱,每個顯示的使用者名稱對應一個登入會話。如果一個使用者有不止一個登入會話,那他的使用者名稱將顯示與其相同的次數。
who
who命令用於報告當前登入到系統中的每個使用者的資訊。使用該命令,系統管理員可以檢視當前系統存在哪些不合法使用者,從而對其進行審計和處理。who的預設輸出包括使用者名稱、終端型別、登入日期及遠端主機
w
w命令用於顯示當前系統中的每個使用者及其所執行的程序資訊,比users、who命令的輸出內容要豐富一些。
last
last命令用於查詢成功登入到系統的使用者記錄,最近的登入情況將顯示在最前面。通過last命令可以及時掌握Linux主機的登入情況,若發現未經授權的使用者登入過,則表示當前主機可能已被入侵
檢視哪些機器ssh連線資訊:
last
last -f /var/log/wtmp
/var/log/wtmp 該日誌檔案永久記錄每個使用者登入、登出及系統的啟動、停機的事件
[[email protected] ~]# last
gao pts/2 11.22.34.33 Mon Feb 1 定位有多少個IP對root帳號進行爆破:
grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
檢視哪些ip想ssh登入我機器失敗:
lastb命令用於查詢登入失敗的使用者記錄,如登入的使用者名稱錯誤、密碼不正確等情況都將記錄在案。登入失敗的情況屬於安全事件,因為這表示可能有人在嘗試猜解你的密碼
[email protected] ~]# lastb
root ssh:notty 19.29.15.12 Mon Feb 1 12:41 - 12:41 (00:00)
gao ssh:notty 12.22.75.25 Mon Feb 1 12:39 - 12:39 (00:00)
【說明】
root
表示:ip為19.29.15.12通過ssh方式,以root使用者登入我的機器失敗(密碼輸錯)
gao
表示:ip為12.22.75.25通過ssh方式,以gao使用者登入我的機器失敗(密碼輸錯)
對爆破的IP進行定位:
grep "Failed password" /var/log/secure
grep "Failed password" /var/log/secure | grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)" | uniq -c
登入成功的日期、使用者名稱、IP:
grep "Accepted" /var/log/secure | awk '{print $1,$2,$3,$9,$11}'
增加和刪除使用者:
cat /var/log/secure | egrep "useradd" | grep "new user"
cat /var/log/secure | grep "userdel"