Linux入侵检测包括哪些
发布时间:2023-06-05 14:09:09 所属栏目:安全 来源:
导读: Linux入侵检测包括哪些?我们不能百分百保证服务器不会被入侵,因此为了降低被攻击造成的损失,了解Linux入侵知识及原理是有必要的,下面我们一起来学习一下Linux入侵检测的相关知识。
一、审计命令
在linux
一、审计命令
在linux
|
Linux入侵检测包括哪些?我们不能百分百保证服务器不会被入侵,因此为了降低被攻击造成的损失,了解Linux入侵知识及原理是有必要的,下面我们一起来学习一下Linux入侵检测的相关知识。 一、审计命令 在linux中有5个用于审计的命令: last:这个命令可用于查看我们系统的成功登录、关机、重启等情况;这个命令就是将/var/log/wtmp文件格式化输出。 lastb:这个命令用于查看登录失败的情况;这个命令就是将/var/log/btmp文件格式化输出。 lastlog:这个命令用于查看用户上一次的登录情况;这个命令就是将/var/log/lastlog文件格式化输出。 who:这个命令用户查看当前登录系统的情况;这个命令就是将/var/log/utmp文件格式化输出。 w:与who命令一致。 关于它们的使用:man last,last与lastb命令使用方法类似:bash/shell Code 复制内容到剪贴板 last [-R] [-num] [ -n num ] [-adFiowx] [ -f file ] [ -t YYYYMMDDHHMMSS ] [name...] [tty...] lastb [-R] [-num] [ -n num ] [ -f file ] [-adFiowx] [name...] [tty...] who [OPTION]... [ FILE | ARG1 ARG2 ] 二、 日志查看 在Linux系统中,有三类主要的日志子系统: 1、连接时间日志: 由多个程序执行,把记录写入到/var/log/wtmp和/var/run/utmp,login等程序会更新wtmp和utmp文件,使系统管理员能够跟踪谁在何时登录到系统。(utmp、wtmp日志文件是多数Linux日志子系统的关键,它保存了用户登录进入和退出的记录。有关当前登录用户的信息记录在文件utmp中; 登录进入和退出记录在文件wtmp中; 数据交换、关机以及重启的机器信息也都记录在wtmp文件中。所有的记录都包含时间戳。) 2、进程统计: 由系统内核执行,当一个进程终止时,为每个进程往进程统计文件(pacct或acct)中写一个记录。进程统计的目的是为系统中的基本服务提供命令使用统计。 3、错误日志: 由syslogd(8)守护程序执行,各种系统守护进程、用户程序和内核通过syslogd(3)守护程序向文件/var/log/messages报告值得注意的事件。另外有许多Unix程序创建日志。像HTTP和FTP这样提供网络服务的服务器也保持详细的日志。 日志目录:/var/log(默认目录) 查看进程日志cat /var/log/messagesp4 查看服务日志cat /var/log/maillogp5 三、用户查看 Linux不同的用户,有不同的操作权限,但是所有用户都会在/etc/passwd /etc/shadow /etc/group /etc/group- 文件中记录; 查看详细 less /etc/passwd:查看是否有新增用户 grep :0 /etc/passwd:查看是否有特权用户(root权限用户) ls -l /etc/passwd:查看passwd最后修改时间 awk -F: ‘$3==0 {print $1}’ /etc/passwd:查看是否存在特权用户 awk -F: ‘length($2)==0 {print $1}’ /etc/shadow:查看是否存在空口令用户 注:linux设置空口令:passwd -d username 四、进程查看 1、普通进程查看进程中我们一般使用ps来查看进程;man ps ps -aux:查看进程 lsof -p pid:查看进程所打开的端口及文件 2、检查隐藏进程 ps -ef | awk ‘{print }’ | sort -n | uniq >1 ls /proc | sort -n |uniq >2 diff 1 2 (编辑:汽车网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
推荐文章
站长推荐
