Centos 登录安全审计
首先记住下边四个类型审计方式及对应的存储文件路径
1 wtmp:所有登录用户信息 /var/log/wtmp 2 utmp:当前登录用户信息 /var/run/utmp 3 btmp:记录所有失败登录信息 /var/log/btmp
4 lastlog:查看所有用户最后一次登录信息 /var/log/lastlog
1、who指令
1 who #默认打印当前登录用户,可接文件 2 root tty1 2018-11-17 16:56 3 root pts/0 2018-11-30 06:49 (10.110.120.150)
#可用参数
1 -b:查看系统最近一次启动时间 2 -H:打印每列的标题
2、last指令
1 last #默认往回搜索wtmp文件来显示自从操作系统安装以来登录过的用户,可接文件 2 root pts/0 10.110.120.150 Fri Nov 30 06:49 still logged in 3 root pts/0 10.110.120.121 Fri Nov 30 04:55 - 06:48 (01:53) 4 root pts/1 10.110.120.121 Thu Nov 29 00:15 - 00:15 (00:00) 5 root pts/0 10.110.120.121 Fri Nov 23 18:56 - 04:54 (6+09:57) 6 root pts/0 10.110.120.121 Thu Nov 22 22:06 - 18:55 (20:49) 7 root pts/0 10.110.120.121 Wed Nov 21 20:23 - 22:05 (1+01:42) 8 root pts/1 10.110.120.121 Sun Nov 18 22:58 - 20:52 (2+21:54) 9 ...... 10 11 wtmp begins Mon Feb 20 04:05:42 2017
#可用参数
1 -x:显示系统开关机以及执行等级信息 2 -a:将登陆ip显示在最后一行 3 -f :读取特定文件,可以选择 -f /var/log/btmp文件 4 -d:将IP地址转换为主机名 5 -n:设置列出名单的显示列数 6 -t:查看指定时间的用户登录历史 例如:last -t 20180525160425 显示这个时间段之前的登录历史
3、users指令
1 users #打印出当前登录的用户,可接文件(但并没实际意义) 2 root root
#语法
users [OPTION]... [FILE]
4、w指令
1 w #当前系统登录的用户和该用户所运行的指令信息,跟who指令有点类似,不可接文件。 2 08:33:27 up 11 days, 21:15, 2 users, load average: 0.01, 0.02, 0.00 3 USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT 4 root tty1 - 17Nov18 6days 0.03s 0.03s -bash 5 root pts/0 10.110.120.150 06:49 0.00s 0.25s 0.00s w
5、实例
1 所有登录wtmp:who /var/log/wtmp || last(default specific wtmp) || users /var/log/wtmp 2 当前登录utmp:w || who [/var/run/utmp(接不接文件都一个效果)] || users [/var/run/utmp(接不接文件都一个效果)] 3 失败登录btmp:who /var/log/btmp || last -f /var/log/btmp || users /var/log/btmp
6、lastlog指令
1 lastlog #命令将默认读取/var/log/lastlog文件,打印所有已存在用户最后一次登录时间,排列顺序按照/etc/passwd文件中的顺序,可加参数过滤,不可接文件 2 Username Port From Latest 3 root pts/0 10.110.120.150 Fri Nov 30 06:49:05 +0800 2018 4 bin **Never logged in** 5 daemon **Never logged in** 6 adm **Never logged in** 7 lp **Never logged in** 8 sync **Never logged in** 9 shutdown **Never logged in** 10 halt **Never logged in** 11 mail **Never logged in** 12 uucp **Never logged in** 13 operator **Never logged in** 14 games **Never logged in** 15 gopher **Never logged in** 16 ftp **Never logged in** 17 nobody **Never logged in** 18 dbus **Never logged in** 19 vcsa **Never logged in** 20 abrt **Never logged in** 21 haldaemon **Never logged in** 22 ntp **Never logged in** 23 saslauth **Never logged in** 24 postfix **Never logged in** 25 sshd **Never logged in** 26 tcpdump **Never logged in** 27 apache **Never logged in** 28 nginx **Never logged in** 29 mysql **Never logged in** 30 wwp pts/2 10.110.120.151 Fri Oct 20 16:34:22 +0800 2017 31 www **Never logged in** 32 rpc **Never logged in** 33 rpcuser **Never logged in** 34 nfsnobody **Never logged in** 35 zq pts/3 10.110.120.151 Fri Nov 17 18:18:16 +0800 2017 36 mailnull **Never logged in** 37 smmsp **Never logged in** 38 rsync **Never logged in** 39 nagios **Never logged in** 40 dhcpd **Never logged in** 41 ldap **Never logged in**
#可用参数及实例
(1) -u:查看某个用户的最后一次登陆历史 例如: lastlog -u test #查看用户test的登陆历史 (2) -t:查看最近几天之内的用户登录历史 例如: lastlog -t 1 #查看最近1天之内的登陆历史 (3) -b:查看指定天数之前的用户登录历史 例如: lastlog -b 60 #查看60天之前的用户登录历史
浙公网安备 33010602011771号