Linux入侵检测学习笔记1

这篇具有很好参考价值的文章主要介绍了Linux入侵检测学习笔记1。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

入侵检测:

查看系统日志

        查看安全相关的日志

查看异常流量

查看可疑进程

文件安全性检查


本地检测方法

云平台的检测方法


查看系统日志:

系统日志大概分两类:

messages:系统日志,信息量比较大。服务的启动停止的信息。

secure:安全日志,所有系统登录的安全验证都在这个日志里出现。

less /var/log/messages


# 实时观察日志文件变化
tail -f /var/log/messages

查看安全相关日志:

less /var/log/secure


tail -f /var/log/secure

ssh远程登录失败日志:

grep -i Failed /var/log/secure

ssh远程登录成功的日志:

grep -i Accepted /var/log/secure

统计登录成功或失败的ip,并进行去重降序排列。

grep -i Accepted /var/log/secure | awk '{print ${NF-3}}' |grep '^0-9' | sort | uniq -c |sort -rn


grep -i Failed /var/log/secure |awk '{print $(NF-3)}' |egrep '^[0-9]' |sort |uniq -c |sort -rn

查看历史用户登录信息last:

查看最后5条登录信息:

last -a -5

如果看到有人通过ssh 22端口,那么root用户怎么把这个人登出去呢?

ss -anput |grep ":22"

# 看到pid值

kill -9 pid值

查看指定时间之前的登录信息:

last -a -t 20190210123030

查看登录系统的用户相关登录失败的信息:

last -a -f /var/log/btmp

查看记录每个用户最后的登录信息:

lastlog

统计当前在线情况:

w

查看系统主日志:

less /var/log/messages

查看计划任务:文章来源地址https://www.toymoban.com/news/detail-485372.html

less /var/log/cron
cat /var/spool/cron/*
less /etc/crontab
ls /etc/cron.*

到了这里,关于Linux入侵检测学习笔记1的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 入侵检测步骤

    安全网关可以设置改密码策略,自动改密码并保存,按照周期 查看系统日志 这个一般都是查看服务的启动情况  less /var/log/secure   直接G查看最后的日志信息, 可以复制粘贴搜索登录失败的日志,如果太多了,就说明被入侵  awk $(NF-3)最后3列   sort 是排序   uniq -c是 去

    2023年04月09日
    浏览(34)
  • 网络防御和入侵检测

    网络防御和入侵检测是维护网络安全的关键任务,可以帮助识别和阻止未经授权的访问和恶意行为。以下是一些基本的步骤和方法,用于进行网络防御和入侵检测。 网络防御: 防火墙设置: 部署防火墙来监控和控制网络流量,阻止未经授权的访问和恶意流量。 访问控制:

    2024年02月11日
    浏览(49)
  • 溯源-入侵检测

    Windows 系统入侵排查 检查系统账号安全 服务器登录弱口令检查 服务器远程登录桌面协议端口开放检查 查看 RDP 协议端口(防止 RDP 端口被修改过,默认 3389) 检查 RDP 协议端口是否开放 服务器账号检查 lusrmgr.msc 检查是否有新增可疑账号 注册表检查是否存在隐藏账号 注册表检

    2024年02月02日
    浏览(35)
  • Snort入侵检测系统实验

    实验内容 搭建网络防御环境 学习使用检测工具Snort 对网络进行攻击,查看和分析网络防御工具报告 对实验结果进行分析整理,形成结论 安装入侵检测系统 Snort 安装daq依赖程序,输入如下命令: sudo apt-get install flex sudo apt-get install bison sudo apt install aptitude sudo aptitude install l

    2023年04月19日
    浏览(45)
  • 设备安全——入侵检测IDS

    IDS(入侵检测系统):对系统的运行状态进行监视,发现各种攻击企图、攻击行为、攻击结果。用于保证系统资源的安全(机密性、完整性、可用性) 设备本身(IDS系统)是一个软件与硬件的组合系统。 IDS的作用:实时监测 经典检测模型 通用的入侵检测系统抽象模型 ● 主

    2024年02月08日
    浏览(45)
  • 网络安全之入侵检测

    目录 网络安全之入侵检测 入侵检测经典理论  经典检测模型 入侵检测作用与原理 意义 异常检测模型(Anomaly Detection) 误用检测模型(Misuse Detection) 经典特征案例 ​编辑自定义签名  ​编辑 签名检查过程 检测生命周期 信息收集的方法 信息分析 异常检测 --- 统计分析、

    2023年04月13日
    浏览(39)
  • 安全防御——IDS(入侵检测系统)

    IDS(intrusion detection system)入侵检测系统 是一种对网络传输进行实时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。 它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术。 专业上讲IDS就是依照一定的安全策略,对网络、系

    2024年01月21日
    浏览(45)
  • 网络安全之入侵检测系统

    入侵 :指一系列试图破坏信息资源 机密性 、 完整性 和 可用性 的行为。对信息系统的非授权访问及(或)未经许可在信息系统中进行操作。 入侵检测 :是通过从计算机网络系统中的若干 关键节点 收集信息,并 分析 这些信息,监控网络中是否有违反安全策略的行为或者是

    2024年02月13日
    浏览(51)
  • shell脚本-入侵检测与告警

    利用inotifywait命令对一些重要的目录作一个实施监控,例如:当/root 、/usr/bin 等目录发生改变的,利用inotifywait看可以对其作一个监控作用。 inotifywait 是一个 Linux 下的命令行工具,用于监视文件系统的变化。它基于 inotify 机制,可以实时监控文件或目录的变化,并在发生变化时

    2024年02月16日
    浏览(43)
  • 入侵检测——IDS概述、签名技术

    IDS(intrusion detection system)入侵检测系统,是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它会对系统的运行状态进行监视,发现各种攻击企图、过程、结果,来保证系统资源的安全。 入侵检测系统模型: 检测器: 分析和

    2024年02月15日
    浏览(42)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包