入侵检测:
查看系统日志
查看安全相关的日志
查看异常流量
查看可疑进程
文件安全性检查
本地检测方法
云平台的检测方法
查看系统日志:
系统日志大概分两类:
messages:系统日志,信息量比较大。服务的启动停止的信息。
secure:安全日志,所有系统登录的安全验证都在这个日志里出现。
less /var/log/messages
# 实时观察日志文件变化
tail -f /var/log/messages查看安全相关日志:
less /var/log/secure
tail -f /var/log/securessh远程登录失败日志:
grep -i Failed /var/log/securessh远程登录成功的日志:
grep -i Accepted /var/log/secure统计登录成功或失败的ip,并进行去重降序排列。
grep -i Accepted /var/log/secure | awk '{print ${NF-3}}' |grep '^0-9' | sort | uniq -c |sort -rn
grep -i Failed /var/log/secure |awk '{print $(NF-3)}' |egrep '^[0-9]' |sort |uniq -c |sort -rn查看历史用户登录信息last:
查看最后5条登录信息:
last -a -5如果看到有人通过ssh 22端口,那么root用户怎么把这个人登出去呢?
ss -anput |grep ":22"
# 看到pid值
kill -9 pid值查看指定时间之前的登录信息:
last -a -t 20190210123030查看登录系统的用户相关登录失败的信息:
last -a -f /var/log/btmp查看记录每个用户最后的登录信息:
lastlog统计当前在线情况:
w查看系统主日志:文章来源:https://www.toymoban.com/news/detail-485372.html
less /var/log/messages查看计划任务:文章来源地址https://www.toymoban.com/news/detail-485372.html
less /var/log/cron
cat /var/spool/cron/*
less /etc/crontab
ls /etc/cron.*到了这里,关于Linux入侵检测学习笔记1的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
