大家好,又见面了,我是你们的朋友全栈君。
Linux日志审计
常用命令 find、grep 、egrep、awk、sed
Linux 中常见日志以及位置
位置 | 名称 |
|---|---|
/var/log/cron | 记录了系统定时任务相关的日志 |
/var/log/auth.log | 记录验证和授权方面的信息 |
/var/log/secure | 同上,只是系统不同 |
/var/log/btmp | 登录失败记录 使用lastb命令查看 |
/var/log/wtmp | 登录失成功记录 使用last命令查看 |
/var/log/lastlog | 最后一次登录 使用lastlog命令查看 |
/var/run/utmp | 使用 w、who、users 命令查看 |
/var/log/auth.log、/var/log/secure记录验证和授权方面的信息,只要涉及账号和密码的程序都会记录,比如SSH登录,su切换用户,sudo授权,甚至添加用户和修改用户密码都会记录在这个日志文件中
常用审计命令
代码语言:javascript复制//定位多少IP在爆破root账号
grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
//定位有多少IP在爆破
grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c
//爆破用户名的字典是什么
grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1n";}'|uniq -c|sort -nr
//查看登录成功的IP有哪些
grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
//登录成功的日志、用户名、IP
grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}' 版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
发布者:全栈程序员栈长,转载请注明出处:https://javaforall.cn/230931.html原文链接:https://javaforall.cn
