一、查看日志文件
Linux查看/var/log/wtmp文件查看可疑IP登入
last-f/var/log/wtmp
该日志文件永久记录每位用户登入、注销及系统的启动、停机的风波。因而随着系统正常运行时间的降低,该文件的大小也会越来越大红帽linux系统下载,
降低的速率取决于系统用户登入的次数。该日志文件可以拿来查看用户的登陆记录,
last命令就通过访问这个文件获得这种信息,并以反序从后往前显示用户的登陆记录,last也能依据用户、终端tty或时间显示相应的记录。
查看/var/log/secure文件找寻可疑IP登入次数
二、脚本生成所有登陆用户的操作历史
在linux系统的环境下linux删除命令,不管是root用户还是其它的用户只有登入系统后用步入操作我们都可以通过命令history来查看历史记录,但是如果一台服务器多人登录,三天由于某人误操作了删掉了重要的数据。这时侯通过查看历史记录(命令:history)是没有哪些意义了(由于history只针对登入用户下执行有效,虽然root用户也未能得到其它用户histotry历史)。那有没有哪些办法实现通过记录登入后的IP地址和某用户名所操作的历史记录呢?答案:有的。
通过在/etc/profile上面加入以下代码就可以实现:
PS1="`whoami`@`hostname`:"'[$PWD]'USER_IP=`who-uami2>/dev/null|awk'{print$NF}'|sed-e's/[()]//g'`if["$USER_IP"=""]thenUSER_IP=`hostname`fiif[!-d/tmp/dbasky]thenmkdir/tmp/dbaskychmod777/tmp/dbaskyfiif[!-d/tmp/dbasky/${LOGNAME}]thenmkdir/tmp/dbasky/${LOGNAME}chmod300/tmp/dbasky/${LOGNAME}fiexportHISTSIZE=4096DT=`date"+%Y-%m-%d_%H:%M:%S"`exportHISTFILE="/tmp/dbasky/${LOGNAME}/${USER_IP}-dbasky.$DT"chmod600/tmp/dbasky/${LOGNAME}/*dbasky*2>/dev/null
source/etc/profile使用脚本生效
退出用户linux查看登录用户linux查看登录用户,重新登陆
面脚本在系统的/tmp新建个dbasky目录,记录所有登录过系统的用户和IP地址(文件名),每每用户登入/退出会创建相应的文件,该文件保存这段用户登入时期内操作历史,可以用这个方式来检测系统的安全性。
root@zsc6:[/tmp/dbasky/root]ls
10.1.80.47dbasky.2013-10-24_12:53:08
root@zsc6:[/tmp/dbasky/root]cat10.1.80.47dbasky.2013-10-24_12:53:08