linux系統安全詳解

http://www.2cto.com/Article/201207/142181.html一,BIOS安全(硬件上的安全)
1,最基本最簡單的安全配置,保障計算機硬件配置等不被別人更改.給BIOS設置密碼,防止改變啟動順序從軟盤或
光盤啟動.防止特殊的啟動盤啟動用戶的系統,進入rescue或其他模式.改變或刪除當前配置等.每一個細心的網
管每個細節都不應該忽視!
2,禁止使用contral+alt+delete重起機器
編輯/etc/inittab文件,注釋掉下面一行.
ca::ctrlaltdel:/sbin/shutdown -t3 -r now
該成:（使用#）
# ca::ctrlaltdel:/sbin/shutdown -t3 -r now
二,帳號安全
口令,系統的第一道防線,目前大多數數***都是截獲口令或猜測口令等口令***開始的.
/etc 目錄下主要存放系統的配置文件.我們要對這個目錄下的好多文件進行修改.
1,/etc/login.defs文件是login程序的配置文件.口令的長度和口令的有效期等可以在這里設置.
[root@tp ~]# vi /etc/login.defs
...
PASS_MAX_DAYS?? 9999? 密碼被用最多天數
PASS_MIN_DAYS?? 0???? 密碼被用最少天數
PASS_MIN_LEN??? 5???? 系統默認密碼長度5,我們可以該成8或更多.
PASS_WARN_AGE?? 7???? 密碼有效期警告,超過7天將提示用戶更換新的密碼.
...
2,/etc/profile文件是環境變量設置文件.在此文件設置環境變量將對所有用戶生效.我們要在此文件設置自動
注銷帳戶的時間.及命令的歷史記錄數.
[root@tp ~]# vi /etc/profile
...
HOSTNAME=`/bin/hostname`
HISTSIZE=1000 這里1000代表用戶操作命令的歷史記錄.應盡量小一些.設置成0也可以,呵呵.
tmout=600 添加此行,如果系統用戶在600秒(10分鐘)內不做任何操作,將自動注銷這個用戶.
...
3,/etc/passwd文件存放系統用戶名,用戶標識(UID),組標識(GID)等的地方.我們要在這里找到并清除沒有設置
口令的用戶.同時還要清除一些特別帳號(因為可能會存在潛在的危險).
[root@tp ~]# vi /etc/passwd
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
...
wh::500:501::/home/wh:/bin/bash
仔細觀察上面的一行(wh用戶),在第二項,兩個冒號中間什么都沒有,而上面的的用戶(如root用戶)都是x. 這表
明此用戶沒有密碼.要不添加上,要不刪掉.
4,特別帳號的處理
如果不啟動用sendmail,刪除如下用戶
[root@tp wh]# userdel adm
[root@tp wh]# userdel lp
[root@tp wh]# userdel sync
[root@tp wh]# userdel shudown
[root@tp wh]# userdel halt
[root@tp wh]# userdel mail
如果不用X windows服務器.可有刪除
[root@tp wh]# userdel news
[root@tp wh]# userdel uucp
[root@tp wh]# userdel operator
[root@tp wh]# userdel games
如果不允許匿名FTP帳號登陸,可刪除
[root@tp wh]# userdel gopher
[root@tp wh]# userdel ftp
三,重要文件的安全設置.
首先要了解兩個命令
1,chmod:改變文件的屬主
2,chattr:改變文件屬性
我們要做的是把重要文件的屬主改成root并給相應的權限,還有就是改變文件的屬性讓它禁止被修改
我們來統計一下重要文件:(其實,只要你不想讓其他用戶更改的文件都可以這么做,我這里只是為安全而選擇了
下面的文件.)
1,/etc/passwd,passwd-,passwd.OLD,group,group- 用戶,組的ID等信息文件.
2,/etc/shadow,shadow-,gshadow,gshadow- 用戶,組密碼加密文件.
3,/etc/xinetd.conf 網絡守護進程主配置文件
4,/etc/inittab? 系統在啟動是會讀取這個文件里的內容.
5,/etc/services 防止未經許可的刪除或添加服務
6,/etc/rc.d/rc.sysinit 系統啟動是需要讀取的文件,
7,/etc/rc.d/init.d/*??
以一個文件為例,其它都一樣
[root@tp etc]# chmod 700 passwd
[root@tp etc]# chattr +i passwd
當chattr +i時就是禁止對文件進行修改,當我們要添加用戶時,就會有麻煩,因為passwd文件禁止修改寫入.所以
我們還要該掉它的屬性.chattr -i.
四,防止***系統安全設置
1,限制用戶使用系統資源,主要包括資源最大進程數,內存使用量等.這樣可以防止DOS類型***.
需要編輯文件
[root@tp /]# vi /etc/security/limits.conf
...
(這三行是添加的) www.2cto.com
* hard core 0??? 禁止創建core文件
* hard rss 5000? 其他用戶(除root)最多使用5M內存
* hard nproc 20? 最多進程數限制在20
注:*表示所有登陸到linux的用戶.
# End of file
[root@tp /]# vi /etc/pam.d/login
...
在文件末尾加入下面一行
session required /lib/security/pam_limits.so
2,限制控制臺的訪問
[root@tp /]# vi /etc/securetty
...
我們注釋掉
tty1
# tty2
# tty3
# tty4
# tty5
# tty6
只留下tty1,這時，root僅可在tty1終端登錄
3,禁止外來ping請求.
[root@tp /]# vi /etc/rc.d/rc.local
...
在最后加入一行
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
4,防止IP地址欺騙
[root@tp /]# vi /etc/host.conf
加入如下幾行
order bind，hosts
multi off
nospoof on
5,禁止su命令進入root(這一部我反復測試總是不成功,group組里的用戶依然不能su成root用戶.希望知道的朋
友告訴我,謝謝)
[root@tp pam.d]# vi /etc/pam.d/su
...
在下面加入如下兩行
auth sufficient /lib/security/pam_rootok.so debug
auth required /lib/security/pam_wheel.so group=xxx
這表示只有xxx組的用戶可以su成root.
6,使用TCP_WRAPPER
在默認情況下linux系統允許所有請求,可用TCP_WRAPPER增強安全性,
在/etc/hosts.deny寫入"ALL:ALL"禁止所有請求
[root@tp etc]# vi /etc/hosts.deny
#
# hosts.deny??? This file describes the names of the hosts which are
#?????????????? *not* allowed to use the local INET services, as decided
#?????????????? by the '/usr/sbin/tcpd' server.
#
# The portmap line is redundant, but it is left to remind you that
# the new secure portmap uses hosts.deny and hosts.allow.? In particular
# you should know that NFS uses portmap!
?? "ALL:ALL"
把允許訪問的客戶,或服務添加到/etc/hosts.allow,冒號左邊為服務,冒號右邊為授權的機器
[root@tp etc]# vi /etc/hosts.allow
#
# hosts.allow?? This file describes the names of the hosts which are
#?????????????? allowed to use the local INET services, as decided
#?????????????? by the '/usr/sbin/tcpd' server.
#
vsftp:211.101.46.253??? 注:僅如許IP地址為211.101.46.253的機器訪問FIP服務器
7．刪減登錄信息
? [root@tp ~]# rm -f /etc/issue
? [root@tp ~]# rm -f /etc/issue.net
[root@tp ~]# touch /etc/issue
? [root@tp ~]# touch /etc/issue.net

五,確保開啟服務的安全性
我們先來看一下自己系統開啟了多少服務.
[root@tp ~]# ps -eaf | wc -l
55
我的是55
我們可以通過當前的進程里在來看一下都是什么服務
[root@tp ~]# ps -aux
Warning: bad syntax, perhaps a bogus '-'? See /usr/share/doc/procps-3.2.3/FAQ
USER?????? PID %CPU %MEM?? VSZ? RSS TTY????? STAT START?? TIME COMMAND
root???????? 1? 0.0? 0.2? 2592? 560 ???????? S??? 21:02?? 0:00 init [3]???????????????????????????
root???????? 2? 0.0? 0.0???? 0??? 0 ???????? SN?? 21:02?? 0:00 [ksoftirqd/0]
root???????? 3? 0.0? 0.0???? 0??? 0 ???????? S<?? 21:02?? 0:00 [events/0]
root???????? 4? 0.0? 0.0???? 0??? 0 ???????? S<?? 21:02?? 0:00 [khelper]
root???????? 5? 0.0? 0.0???? 0??? 0 ???????? S<?? 21:02?? 0:00 [kacpid]
root??????? 20? 0.0? 0.0???? 0??? 0 ???????? S<?? 21:02?? 0:00 [kblockd/0]
root??????? 30? 0.0? 0.0???? 0??? 0 ???????? S??? 21:02?? 0:00 [pdflush]
root??????? 31? 0.0? 0.0???? 0??? 0 ???????? S??? 21:02?? 0:00 [pdflush]
root??????? 33? 0.0? 0.0???? 0??? 0 ???????? S<?? 21:02?? 0:00 [aio/0]
root??????? 21? 0.0? 0.0???? 0??? 0 ???????? S??? 21:02?? 0:00 [khubd]
root??????? 32? 0.0? 0.0???? 0??? 0 ???????? S??? 21:02?? 0:00 [kswapd0]
root?????? 107? 0.0? 0.0???? 0??? 0 ???????? S??? 21:02?? 0:00 [kseriod]
root?????? 181? 0.0? 0.0???? 0??? 0 ???????? S<?? 21:03?? 0:00 [kmirrord]
root?????? 182? 0.0? 0.0???? 0??? 0 ???????? S<?? 21:03?? 0:00 [kmir_mon]
root?????? 190? 0.0? 0.0???? 0??? 0 ???????? S??? 21:03?? 0:00 [kjournald]
root????? 1085? 0.0? 0.1? 2604? 444 ???????? S<s? 21:03?? 0:00 udevd
root????? 1611? 0.0? 0.0???? 0??? 0 ???????? S<?? 21:03?? 0:00 [kauditd]
root????? 1745? 0.0? 0.0???? 0??? 0 ???????? S<?? 21:03?? 0:00 [kmpathd/0]
root????? 1769? 0.0? 0.0???? 0??? 0 ???????? S??? 21:03?? 0:00 [kjournald]
root????? 2250? 0.0? 0.2? 2668? 632 ???????? Ss?? 21:03?? 0:00 syslogd -m 0
root????? 2254? 0.0? 0.1? 3352? 472 ???????? Ss?? 21:03?? 0:00 klogd -x
rpc?????? 2274? 0.0? 0.2? 2220? 572 ???????? Ss?? 21:03?? 0:00 portmap
rpcuser?? 2294? 0.0? 0.2? 2108? 756 ???????? Ss?? 21:03?? 0:00 rpc.statd
root????? 2322? 0.0? 0.3? 5344? 992 ???????? Ss?? 21:03?? 0:00 rpc.idmapd
root????? 2399? 0.0? 0.3? 2612? 816 ???????? S??? 21:03?? 0:00 /usr/sbin/smartd
root????? 2409? 0.0? 0.2? 3176? 540 ???????? Ss?? 21:03?? 0:00 /usr/sbin/acpid
root????? 2440? 0.0? 1.4 11192 3680 ???????? Ss?? 21:03?? 0:00 cupsd
root????? 2497? 0.0? 0.6? 5044 1712 ???????? Ss?? 21:03?? 0:00 /usr/sbin/sshd
root????? 2526? 0.0? 0.3? 2760? 876 ???????? Ss?? 21:03?? 0:00 xinetd -stayalive -pidfile
/var/run/xinetd.pid
root????? 2536? 0.0? 0.2? 1788? 528 ???????? Ss?? 21:03?? 0:00 gpm -m /dev/input/mice -t imps2
htt?????? 2565? 0.0? 0.1? 1960? 316 ???????? Ss?? 21:03?? 0:00 /usr/sbin/htt -retryonerror 0
htt?????? 2566? 0.0? 1.1? 8256 3024 ???????? S??? 21:03?? 0:00 htt_server -nodaemon
canna???? 2578? 0.0? 6.8 19932 17628 ??????? Ss?? 21:03?? 0:00 /usr/sbin/cannaserver -syslog -u
canna
root????? 2590? 0.0? 0.4? 7428 1204 ???????? Ss?? 21:03?? 0:00 crond
xfs?????? 2628? 0.0? 1.3? 5692 3332 ???????? Ss?? 21:03?? 0:00 xfs -droppriv -daemon
root????? 2638? 0.0? 0.2? 2092? 640 ???????? SNs? 21:03?? 0:00 anacron -s
root????? 2647? 0.0? 0.2? 3712? 740 ???????? Ss?? 21:03?? 0:00 /usr/sbin/atd
dbus????? 2657? 0.0? 0.5 13296 1324 ???????? Ssl? 21:03?? 0:00 dbus-daemon-1 --system
root????? 2668? 0.0? 0.4? 3156 1040 ???????? Ss?? 21:03?? 0:00 cups-config-daemon
root????? 2679? 0.0? 1.7? 6540 4424 ???????? Ss?? 21:03?? 0:00 hald
root????? 2688? 0.0? 0.5? 2916 1288 ???????? Ss?? 21:03?? 0:00 login -- root????
root????? 2689? 0.0? 0.1? 1528? 404 tty2???? Ss+? 21:03?? 0:00 /sbin/mingetty tty2
root????? 2690? 0.0? 0.1? 2048? 404 tty3???? Ss+? 21:03?? 0:00 /sbin/mingetty tty3
root????? 2691? 0.0? 0.1? 3488? 404 tty4???? Ss+? 21:03?? 0:00 /sbin/mingetty tty4
root????? 2692? 0.0? 0.1? 2368? 404 tty5???? Ss+? 21:03?? 0:00 /sbin/mingetty tty5
root????? 2693? 0.0? 0.1? 3296? 404 tty6???? Ss+? 21:03?? 0:00 /sbin/mingetty tty6
root????? 3136? 0.0? 0.5? 5920 1396 tty1???? Ss+? 21:05?? 0:00 -bash
root????? 3574? 0.0? 0.8? 8400 2276 ???????? Ss?? 21:05?? 0:00 sshd: root@pts/0
root????? 3576? 0.0? 0.5? 6896 1388 pts/0??? Ss?? 21:05?? 0:00 -bash
root????? 3608? 0.0? 0.4? 6584 1216 pts/0??? S+?? 21:05?? 0:00 ntsysv
root????? 4019? 0.0? 0.8? 8408 2276 ???????? Rs?? 21:09?? 0:00 sshd: root@pts/1
root????? 4021? 0.0? 0.5? 6912 1388 pts/1??? Ss?? 21:09?? 0:00 -bash
root????? 4084? 0.0? 0.2? 2852? 748 pts/1??? R+?? 21:17?? 0:00 ps -aux
這些進程,服務,都是開機自動加載的!我們可以用命令來看一下,
[root@tp ~]# ntsysv
那些前面有*號的就是開機自動啟動的服務.也就是說我們開機的話就要同時開啟這么多的服務.(和我們windows
里的服務是一樣的,沒用的完全可以關了).
我們要掌握一個原則:就是運行的服務越少,肯定系統就越安全.
上面看的是系統開機都會開啟那些服務.那么那些服務是正在運行的呢?
[root@tp ~]# netstat -an
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address?????????????? Foreign Address???????????? State?????
tcp??????? 0????? 0 0.0.0.0:32768?????????????? 0.0.0.0:*?????????????????? LISTEN?????
tcp??????? 0????? 0 0.0.0.0:111???????????????? 0.0.0.0:*?????????????????? LISTEN?????
tcp??????? 0????? 0 0.0.0.0:113???????????????? 0.0.0.0:*?????????????????? LISTEN?????
tcp??????? 0????? 0 127.0.0.1:631?????????????? 0.0.0.0:*?????????????????? LISTEN?????
tcp??????? 0????? 0 :::80?????????????????????? :::*??????????????????????? LISTEN?????
tcp??????? 0????? 0 :::22?????????????????????? :::*??????????????????????? LISTEN?????
tcp??????? 0????? 0 :::443????????????????????? :::*??????????????????????? LISTEN?????
tcp??????? 0??? 880 ::ffff:192.168.0.1:22?????? ::ffff:192.168.0.5:2683???? ESTABLISHED
udp??????? 0????? 0 0.0.0.0:32768?????????????? 0.0.0.0:*??????????????????????????????
udp??????? 0????? 0 0.0.0.0:111???????????????? 0.0.0.0:*??????????????????????????????
udp??????? 0????? 0 0.0.0.0:631???????????????? 0.0.0.0:*??????????????????????????????
udp??????? 0????? 0 0.0.0.0:764???????????????? 0.0.0.0:*??????????????????????????????
帶有LISTEN的代表正在開啟的端口,開啟的服務.
如果你對linux系統的啟動過程了解的話.(建議先去看看,我以后也會寫的)
我們進入這個目錄
[root@tp ~]# cd /etc/rc.d
[root@tp rc.d]# ls
init.d? rc? rc0.d? rc1.d? rc2.d? rc3.d? rc4.d? rc5.d? rc6.d? rc.local? rc.sysinit
如果你的系統是X(圖形化啟動的話)運行級別是5,那就是rc5.d,我的是rc3.d,運行級別是3.(多用戶模式)
是哪個模式就進入哪個目錄,看一下
[root@tp rc.d]# cd rc3.d/
[root@tp rc3.d]# ls
K01yum???????????? K16rarpd?????????? K35cyrus-imapd? K50snmptrapd? K84bgpd??????? K96ipmi????????
???? S13irqbalance? S55sshd
K02NetworkManager? K20bootparamd????? K35dhcpd??????? K50tux??????? K84ospf6d????? K99readahead???
???? S13portmap???? S56rawdevices
K03rhnsd?????????? K20netdump-server? K35smb????????? K50vsftpd???? K84ospfd???????
K99readahead_early? S14nfslock???? S56xinetd
K05atd???????????? K20nfs???????????? K35vncserver??? K54dovecot??? K84ripd????????
S00microcode_ctl??? S15mdmonitor?? S85gpm
K05innd??????????? K20rstatd????????? K35winbind????? K61ldap?????? K84ripngd????? S01sysstat?????
???? S18rpcidmapd?? S87iiim
K05saslauthd?????? K20rusersd???????? K36dhcp6s?????? K65kadmin???? K85mdmpd?????? S05kudzu???????
???? S19rpcgssd???? S90canna
K10dc_server?????? K20rwhod?????????? K36lisa???????? K65kprop????? K85zebra?????? S06cpuspeed????
???? S25netfs?????? S90crond
K10psacct????????? K24irda??????????? K36mysqld?????? K65krb524???? K87auditd??????
S08arptables_jf???? S26apmd??????? S95anacron
K10radiusd???????? K25squid?????????? K36postgresql?? K65krb5kdc??? K87multipathd? S08ip6tables???
???? S26lm_sensors? S97messagebus
K10xfs???????????? K28amd???????????? K45arpwatch???? K73ypbind???? K88opensm????? S08iptables????
???? S28autofs????? S98cups-config-daemon
K12dc_client?????? K30sendmail??????? K45named??????? K74nscd?????? K89iscsi?????? S09isdn????????
???? S40smartd????? S98haldaemon
K12FreeWnn???????? K30spamassassin??? K46radvd??????? K74ntpd?????? K89netplugd??? S09pcmcia??????
???? S44acpid?????? S99local
K12mailman???????? K34dhcrelay??????? K50netdump????? K74ypserv???? K90bluetooth?? S10network?????
???? S54hpoj
K15httpd?????????? K34yppasswdd?????? K50snmpd??????? K74ypxfrd???? K94diskdump??? S12syslog??????
???? S55cups
linux在開機時會讀取/etc/rc.d/rcX.d(根據X的運行級別)
終止K開頭的服務.
開啟S開頭的服務.
我們通過ntsysv命令所做的更改都會在這里體現出來.
好,現在應該到我們的重點了,就是要開啟那些服務,關閉那些服務.
我把每一個服務都代表什么寫出來,大家自己根據自己的需要來決定.
amd：自動安裝NFS（網絡文件系統）守侯進程
apmd:高級電源管理
Arpwatch：記錄日志并構建一個在LAN接口上看到的以太網地址和IP地址對數據庫
atd 運行用戶用At命令調度的任務。也在系統負荷比較低時 運行批處理任務。
Autofs：自動安裝管理進程automount，與NFS相關，依賴于NIS
Bootparamd：引導參數服務器，為LAN上的無盤工作站提供引導所需的相關信息
crond：Linux下的計劃任務
Dhcpd：啟動一個DHCP（動態IP地址分配）服務器
Gated：網關路由守候進程，使用動態的OSPF路由選擇協議
gpm gpm為文本模式下的Linux程序如mc(Midnight Commander)提供了
鼠標的支持。它也支持控制臺鼠標的拷貝，粘貼操作以及彈出式菜單。
Httpd：WEB服務器
Inetd：支持多種網絡服務的核心守候程序
Innd：Usenet新聞服務器
keytable 該程序的功能是轉載您在/etc/sysconfig/keyboards里說明的鍵盤
映射表，該表可以通過kbdconfig工具進行選 擇。您應該使該程序
處于激活狀態。
ldap LDAP代表Lightweight Directory Access Protocol， 實現了目錄
訪問協議的行業標準。
Linuxconf：允許使用本地WEB服務器作為用戶接口來配置機器
Lpd：打印服務器
Mars-nwe：mars-nwe文件和用于Novell的打印服務器
mcserv Midnight Commander服務進程允許遠程機器上的用戶通過Midnight
Commander文件管理器操作本機文件。服務進程用PAM來驗證用戶，
需要給出“用戶名/口令”以通過驗證
named：DNS服務器
netfs：安裝NFS、Samba和NetWare網絡文件系統
network：激活已配置網絡接口的腳本程序
nfs：打開NFS服務
nscd：nscd(Name Switch Cache daemon)服務器，用于NIS的一個支持服務，它高速緩存用戶口令和組成成員關
系
Pcmcia pcmcia主要用于支持筆記本電腦。
portmap：RPC portmap管理器，與inetd類似，它管理基于RPC服務的連接
postgresql：一種SQL數據庫服務器
random 保存和恢復系統的高質量隨機數生成器，這些隨機數是系統一些隨
機行為提供的
routed：路由守候進程，使用動態RIP路由選擇協議
rstatd：一個為LAN上的其它機器收集和提供系統信息的守候程序
ruserd：遠程用戶定位服務，這是一個基于RPC的服務，它提供關于當前記錄到LAN上一個機器日志中的用戶信
息
rwalld：激活rpc.rwall服務進程，這是一項基于RPC的服務，允許用戶給每個注冊到LAN機器上的其他終端寫消
息
rwhod：激活rwhod服務進程，它支持LAN的rwho和ruptime服務
sendmail：郵件服務器sendmail
smb：Samba文件共享/打印服務
snmpd：本地簡單網絡管理候進程
squid：激活代理服務器squid
syslog：一個讓系統引導時起動syslog和klogd系統日志守候進程的腳本
Webmin webmin是基于web的集系統管理與網絡管理于一身的強大管理工具。
利用webmin的強大功能，用戶可以通過web瀏覽器來方便地設置自
己的服務器、dns、samba、nfs、本地/遠程文件系統以及許多其他的
系統配置。
xfs：X Window字型服務器，為本地和遠程X服務器提供字型集
xntpd：網絡時間服務器
ypbind：為NIS（網絡信息系統）客戶機激活ypbind服務進程
yppasswdd：NIS口令服務器
ypserv：NIS主服務器
gpm：管鼠標的
identd：AUTH服務，在提供用戶信息方面與finger類似
可能還有不全的解釋,希望大家能補上.
六,日志的安全.
我在這里只講解日志的安全問題,也就是通過日志來查看那些可疑的用戶登陸過機器.不會詳細介紹日志方面的
知識.(關于linux日志我認為是很重要的東西,作為一名系統維護人員,必須對linux日志有一定了解.我也會馬上
詳細寫這方面的文章.)
三個重要的日志文件
/var/log/wtmp 記錄每個用戶登陸和推出時間的永久記錄.
/var/run/utmp 記錄當前登陸到系統的每個用戶信息.
/var/log/lastlog 每個用戶最后一次登陸的信息(最新的信息)
wtmp和utmp都是二進制文件,它們要用命令來查看內容.
1,命令who,查看utmp文件當前的每個用戶的信息,它默認輸出包括用戶名,終端類型,登陸時間及遠程主機.
如下:
[root@tp log]# who
root???? pts/0??????? May? 4 22:10 (192.168.0.5)
如果指明了文件,則回顯示自wtmp創建以來所有登陸的用戶信息.
[root@tp log]# who /var/log/wtmp
root???? tty1???????? May? 4 20:44
root???? pts/0??????? May? 4 20:52 (211.101.46.195)
root???? tty1???????? May? 4 21:05
root???? pts/0??????? May? 4 21:05 (211.101.46.195)
root???? pts/1??????? May? 4 21:09 (192.168.0.5)
root???? pts/0??????? May? 4 21:38 (192.168.0.5)
root???? pts/0??????? May? 4 22:10 (192.168.0.5)
2,命令w,查看utmp文件并顯示當前系統中每個用戶和它所運行的進程信息.
如:
[root@tp log]# w
23:00:48 up 54 min,? 1 user,? load average: 0.00, 0.00, 0.00
USER???? TTY????? FROM????????????? LOGIN@?? IDLE?? JCPU?? PCPU WHAT
root???? pts/0??? 192.168.0.5????? 22:10??? 0.00s? 0.03s? 0.00s w
3,users,顯示當前當前登陸的用戶數量.
如,
[root@tp log]# users
root root
這表明兩個root用戶在同時登陸這臺機器.
4,last命令,用來顯示wtmp文件第一次 創建以來所有登陸過的用戶.
如:
[root@tp log]# last
root???? pts/1??????? 192.168.0.5????? Fri May? 4 23:01 - 23:02? (00:00)???
root???? pts/0??????? 192.168.0.5????? Fri May? 4 22:10?? still logged in??
reboot?? system boot? 2.6.9-34.EL????? Fri May? 4 22:07????????? (00:59)???
root???? pts/0??????? 192.168.0.5????? Fri May? 4 21:38 - down?? (00:27)???
reboot?? system boot? 2.6.9-34.EL????? Fri May? 4 21:36????????? (00:29)???
root???? pts/1??????? 192.168.0.5????? Fri May? 4 21:09 - down?? (00:25)???
root???? pts/0??????? 211.101.46.195?? Fri May? 4 21:05 - down?? (00:29)???
root???? tty1????????????????????????? Fri May? 4 21:05 - down?? (00:30)???
reboot?? system boot? 2.6.9-34.EL????? Fri May? 4 21:03????????? (00:31)???
root???? pts/0??????? 211.101.46.195?? Fri May? 4 20:52 - crash? (00:11)???
root???? tty1????????????????????????? Fri May? 4 20:44 - crash? (00:18)???
reboot?? system boot? 2.6.9-34.EL????? Fri May? 4 20:32????????? (01:02)???
reboot?? system boot? 2.6.9-34.EL????? Tue May? 1 08:32???????? (3+13:02)??
reboot?? system boot? 2.6.9-34.EL????? Tue May? 1 08:27???????? (3+13:07)??
reboot?? system boot? 2.6.9-34.EL????? Tue May? 1 08:24???????? (3+13:10)??
reboot?? system boot? 2.6.9-34.EL????? Tue May? 1 08:13???????? (3+13:22)??
wtmp begins Tue May? 1 08:13:04 2007
我們也可以指明用戶,[root@tp log]# last root
root???? pts/1??????? 192.168.0.5????? Fri May? 4 23:01 - 23:02? (00:00)???
root???? pts/0??????? 192.168.0.5????? Fri May? 4 22:10?? still logged in??
root???? pts/0??????? 192.168.0.5????? Fri May? 4 21:38 - down?? (00:27)???
root???? pts/1??????? 192.168.0.5????? Fri May? 4 21:09 - down?? (00:25)???
root???? pts/0??????? 211.101.46.195?? Fri May? 4 21:05 - down?? (00:29)???
root???? tty1????????????????????????? Fri May? 4 21:05 - down?? (00:30)???
root???? pts/0??????? 211.101.46.195?? Fri May? 4 20:52 - crash? (00:11)???
root???? tty1????????????????????????? Fri May? 4 20:44 - crash? (00:18)???
wtmp begins Tue May? 1 08:13:04 2007
5,命令ac,根據wtmp文件中每個用戶進入和退出時間.(以小時計算),不用參數代表全部
[root@tp log]# ac
??????? total??????? 2.88
[root@tp log]# ac -d 代表每天總連接時間
Today?? total??????? 2.89
[root@tp log]# ac -p 代表每個用戶總連接時間
??????? root???????????????????????????????? 2.89
??????? total??????? 2.89
我們要養成經常查看日志來觀察有無可疑用戶等問題的存在.

原文位置??http://www.2cto.com/Article/201207/142181.html

覺得不錯，特轉載到自己的博客

?

轉載于:https://blog.51cto.com/jialiang10086/1063256

總結

以上是生活随笔為你收集整理的linux系统安全详解的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。