文章目录
linux日志文件说明:
/var/log/message 系统启动后的信息和错误日志,是Red Hat Linux中最常用的日志之一
/var/log/secure 与安全相关的日志信息
/var/log/maillog 与邮件相关的日志信息
/var/log/cron 与定时任务相关的日志信息
/var/log/spooler 与UUCP和news设备相关的日志信息
/var/log/boot.log 守护进程启动和停止相关的日志消息
/var/log/wtmp 该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件
linux ssh远程连接、登录相关:
查看当前的系统登录用户:
users
users命令只是简单地输出当前登录的用户名称,每个显示的用户名对应一个登录会话。如果一个用户有不止一个登录会话,那他的用户名将显示与其相同的次数。
who
who命令用于报告当前登录到系统中的每个用户的信息。使用该命令,系统管理员可以查看当前系统存在哪些不合法用户,从而对其进行审计和处理。who的默认输出包括用户名、终端类型、登录日期及远程主机
w
w命令用于显示当前系统中的每个用户及其所运行的进程信息,比users、who命令的输出内容要丰富一些。
last
last命令用于查询成功登录到系统的用户记录,最近的登录情况将显示在最前面。通过last命令可以及时掌握Linux主机的登录情况,若发现未经授权的用户登录过,则表示当前主机可能已被入侵
查看哪些机器ssh连接信息:
last
last -f /var/log/wtmp
/var/log/wtmp 该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件
[root@localhost ~]# last
gao pts/2 11.22.34.33 Mon Feb 1 10:30 still logged in
root pts/1 192.168.19.113 Sun Dec 13 19:22 - 20:22 (00:00)
【说明】:
gao:
表示ssh登录的用户名
11.22.34.33:
表示通过该ip,ssh方式连接本机的
Sun Dec 13 19:22
表示:登入时间
20:22 (00:00)
表示:退出时间
定位有多少个IP对root帐号进行爆破:
grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
查看哪些ip想ssh登录我机器失败:
lastb命令用于查询登录失败的用户记录,如登录的用户名错误、密码不正确等情况都将记录在案。登录失败的情况属于安全事件,因为这表示可能有人在尝试猜解你的密码
root@VM20201208-0 ~]# lastb
root ssh:notty 19.29.15.12 Mon Feb 1 12:41 - 12:41 (00:00)
gao ssh:notty 12.22.75.25 Mon Feb 1 12:39 - 12:39 (00:00)
【说明】
root
表示:ip为19.29.15.12通过ssh方式,以root用户登录我的机器失败(密码输错)
gao
表示:ip为12.22.75.25通过ssh方式,以gao用户登录我的机器失败(密码输错)
对爆破的IP进行定位:
grep "Failed password" /var/log/secure
grep "Failed password" /var/log/secure | grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)" | uniq -c
登录成功的日期、用户名、IP:
grep "Accepted" /var/log/secure | awk '{print $1,$2,$3,$9,$11}'
增加和删除用户:
cat /var/log/secure | egrep "useradd" | grep "new user"
cat /var/log/secure | grep "userdel"