Linux系列教程之入侵检测

日志查看法

Linux系统拥有非常灵活和强大的日志功能,可以保存几乎所有的操作记录,一旦发生入侵系统会留存日志。我们可以通过查看日志文件发现痕迹。

比较重要的几个日志:

登录失败记录:/var/log/btmp // last

最后一次登录:/var/log/lastlog // lastlog

登录成功记录: /var/log/wtmp //last

登录日志记录:/var/log/secure

目前登录用户信息:/var/run/utmp //w、who、users

入侵者入侵后可能会删除机器的日志信息,可以查看日志信息是否还存在或者是否被清空,相关命令示例:

23b67bf930fd1ecc6416cccf745b6cf8查看登录日志命令: last和lastlog8bb505830e9b7d9aa0cbe9d92694defa

eb27944c8b5e0decb2ea1dde61462fc0使用md5sum对比重要文件

创建md5文件

root@zabbix:~# mkdir -p /opt/md5
root@zabbix:~# md5sum /etc/passwd
7606e3f8152ff6fc12f794fadaae7004  /etc/passwd
root@zabbix:~# md5sum /etc/passwd >/opt/md5/passwd.md5
root@zabbix:~# md5sum /etc/shadow >/opt/md5/shadow.md5

检测md5是否被修改

root@zabbix:~# md5sum -c /opt/md5/passwd.md5 
/etc/passwd: 成功

如果被修改

root@zabbix:~# md5sum -c /opt/md5/passwd.md5 
/etc/passwd: 失败
md5sum: 警告:1 个校验和不匹配

这是linux系统中最简单的入侵检测方法。目前也有很多入侵检测的软件可以使用,感兴趣的可以去了解一下

 

重要提示

源码工具资源类要求技术能力: 源码工具对技术要求较高,不建议小白购买下载,建议具有一定思考和动手能力的用户购买。
请谨慎考虑: 小白和缺乏思考动手能力者不建议赞助。本站只收集整理资源,部分源码不一定能运行。有空会测试部分源码及修改,赞助前请谨慎!
虚拟商品购买须知: 虚拟类商品具有可复制性,一经打赏赞助,不支持退款。请谅解,谢谢合作!

© 版权声明
THE END
喜欢就支持一下吧
点赞9赞赏 分享
评论 抢沙发

请登录后发表评论

    暂无评论内容