1、系统日志
/var/log/messages不仅是服务器的系统日志,很多时候它也包括许多服务的日志,所以它被称为“杂货铺”,建议重点关注。大家一般都喜欢用以下命令来看最后10条日志:tail -n10/var/log/messages。
其实还可以将一段日志保存成文件(Xmanager3.0企业版的shell也有日志录像截取功能),或者直接用vim来处理。我以前配置主从复制的bind服务器时,有时会因为权限的原因报错,这时就可以在一台报错的服务器上用命令tail -f/var/log/messages实时查看服务器的日志变化情况,从而查找错误的蛛丝马迹。事实证明,效果很好,而且将此命令用于lvs+keepalived的排错效果也不错。其他服务器配置排错以此类推,这个做法也推荐读者掌握。
2、系统安全日志
/var/log/secure记录登录系统存取数据的文件,例如POP3、SSH、Telnet、FTP等都会被记录,我们可以利用此文件找出不安全的登录IP。目前比较流行的SSH防暴力破解工具DenyHosts主要也是读此文件。另外,我写了一个原理类似的shell安全脚本,用于线上服务器,在后面的章节跟大家分享。
3、记录登录者的数据
/var/log/wtmp记录登录者的信息数据,由于此文件已经被编码过(为二进制文件),想用cat等命令直接查看是不行的,必须使用last指令来取出文件的内容,如下所示:
- [root@localhost ~]# last
- root pts/2220.249.72.138Wed Mar 30 08:33still logged in
- root pts/2220.249.72.138Tue Mar 29 09:02 - 15:42(06:39)
- root pts/2220.249.72.138Tue Mar 29 07:31 - 09:01(01:30)
- root pts/2219.139.223.49Tue Mar 29 00:14 - 00:29(00:15)
- root pts/2183.94.4.206Mon Mar 28 20:46 - 21:21(00:34)
- root pts/2113.57.224.3Mon Mar 28 11:30 - 12:17(00:46)
- root pts/4219.139.223.142Sun Mar 27 15:58 - 18:10(02:11)
- root pts/3113.57.224.3Sun Mar 27 14:28 - 18:25(03:57)
- root pts/3113.57.224.3Sun Mar 27 09:20 - 11:56(02:35)
- root pts/3219.140.210.152Sun Mar 27 01:16 - 01:29(00:12)
- root pts/2220.249.72.138Sat Mar 26 08:42 - 18:38(1+09:55)
- root pts/2220.249.72.138Thu Mar 24 11:19 - 14:44(1+03:25)
- root pts/2220.249.72.138Wed Mar 23 10:26 - 09:13(22:47)
- root pts/2220.249.72.138Tue Mar 22 07:22 - 13:38(06:16)
- root pts/2119.103.112.43Mon Mar 21 18:08 - 18:38(00:29)
- root pts/2119.103.112.43Mon Mar 21 16:26 - 18:07(01:41)
- root pts/3119.103.82.129Mon Mar 21 12:22 - 12:25(00:02)
- root pts/2119.103.121.252Mon Mar 21 11:59 - 14:11(02:12)
- root pts/2119.103.121.252Mon Mar 21 11:50 - 11:53(00:02)
- root pts/2119.103.30.213Sun Mar 20 10:03 - 12:42(02:39)
- root pts/358.19.17.3Sat Mar 19 12:22 - 12:22(00:00)
- root pts/2220.249.72.138Sat Mar 19 07:07 - 16:05(08:58)
- root pts/2219.140.213.209Sat Mar 19 01:39 - 01:55(00:16)
|
4、记录登录时间
/var/log/lastlog记录每个使用者最近登录系统的时间。因此当使用者登录时,就会显示其上次登录的时间,你应该注意一下这个时间,若此时间不是你上次登录的时间,表示账号可能被人盗用了。此可执行文件可用/usr/bin/lastlog指令读取(在FreeBSD8&FreeBSD8.1下为/usr/sbin/lastlogin)。使用此命令后的记录如下所示:
- [root@localhost ~]# lastlog
- 用户名 端口 来自 最后登录时间
- root pts/2220.249.72.138三 3月 30 08:33:33 +0800 2011
- bin**从未登录过**
- daemon**从未登录过**
- adm**从未登录过**
- lp**从未登录过**
- sync**从未登录过**
- shutdown**从未登录过**
- halt**从未登录过**
- mail**从未登录过**
- news**从未登录过**
- uucp**从未登录过**
- operator**从未登录过**
- games**从未登录过**
- gopher**从未登录过**
- ftp**从未登录过**
- nobody**从未登录过**
- nscd**从未登录过**
- vcsa**从未登录过**
- pcap**从未登录过**
- rpc**从未登录过**
- apache**从未登录过**
- mailnull**从未登录过**
- smmsp**从未登录过**
- ntp**从未登录过**
- hsqldb**从未登录过**
- xfs**从未登录过**
- rpcuser**从未登录过**
- sshd**从未登录过**
- dbus**从未登录过**
- avahi**从未登录过**
- haldaemon**从未登录过**
- avahi-autoipd**从未登录过**
- gdm**从未登录过**
- longfei**从未登录过**
- ldap**从未登录过**
- www**从未登录过**
- mysql**从未登录过**
|