5个Linux入侵检测命令

发布时间:2018-01-10 18:44:01编辑:丝画阁阅读(278)

5个Linux入侵检测命令

在安全运维中,经常使用什么命令来检测入侵的情况呢? 本文只是抛砖引玉,这里介绍最常用的五个命令,帮助大家发现系统潜在问题。

1、 last 这个命令可用于查看我们系统的成功登录、关机、重启等情况;这个命令就是将/var/log/wtmp文件格式化输出

参数选项

-a:把从何处登入系统的主机名称或ip地址,显示在最后一行;

-d:将IP地址转换成主机名称;

-f :指定记录文件。

-n 或-:设置列出名单的显示列数;

-R:不显示登入系统的主机名称或IP地址;

-x:显示系统关机,重新开机,以及执行等级的改变等信息。

[root@localhost ~]# last

root pts/1 192.168.3.44 Mon Nov 13 18:03 still logged in

root pts/0 :0.0 Mon Nov 13 18:01 still logged in

root tty1 :0 Mon Nov 13 18:01 still logged in

reboot system boot 2.6.32-696.6.3.e Mon Nov 13 17:56 - 18:13 (00:17)

root pts/1 192.168.3.44 Tue Nov 7 17:25 - 18:03 (00:38)

root pts/0 :0.0 Tue Nov 7 17:24 - crash (6+00:32)

root tty1 :0 Tue Nov 7 17:23 - crash (6+00:32)

reboot system boot 2.6.32-696.6.3.e Tue Nov 7 17:14 - 18:13 (6+00:58)

root pts/0 :0.0 Thu Oct 26 20:02 - crash (11+22:12)

root tty1 :0 Thu Oct 26 20:01 - crash (11+22:13)

reboot system boot 2.6.32-696.6.3.e Thu Oct 26 20:00 - 18:13 (17+23:12)

root pts/2 192.168.1.117 Sat Oct 14 03:23 - crash (12+16:37)

2、lastb:这个命令用于查看登录失败的情况;这个命令就是将/var/log/btmp文件格式化输出。

参数选项

-a:把从何处登入系统的主机名称或ip地址显示在最后一行;

-d:将IP地址转换成主机名称; -f:指定记录文件;

-n或-:设置列出名单的显示列数;

-R:不显示登入系统的主机名称或IP地址;

-x:显示系统关机,重新开机,以及执行等级的改变等信息。

3、lastlog:这个命令用于查看用户上一次的登录情况;这个命令就是将/var/log/lastlog文件格式化输出。

参数选项

-b:显示指定天数前的登录信息;

-h:显示召集令的帮助信息;

-t:显示指定天数以来的登录信息;

-u:显示指定用户的最近登录信息。

4、who:这个命令用户查看当前登录系统的情况;这个命令就是将/var/log/utmp文件格式化输出。

参数选项

-H或--heading:显示各栏位的标题信息列;

-i或-u或--idle:显示闲置时间,若该用户在前一分钟之内有进行任何动作,将标示成"."号,如果该用户已超过24小时没有任何动作,则标示出"old"字符串;

-m:此参数的效果和指定"am i"字符串相同;

-q或--count:只显示登入系统的帐号名称和总人数;

-s:此参数将忽略不予处理,仅负责解决who指令其他版本的兼容性问题;

-w或-T或--mesg或--message或--writable:显示用户的信息状态栏;

--help:在线帮助;

--version:显示版本信息。

5、w:与who命令一致。


关键字