精华内容
下载资源
问答
  • Linux用户行为日志审计
    2021-01-17 19:06:06

    一:配置调试

    1.创建用户审计文件存放目录和审计日志文件 ;

    mkdir -p /var/log/usermonitor/

    2.创建用户审计日志文件;

    echo usermonitor >/var/log/usermonitor/usermonitor.log

    3.将日志文件所有者赋予一个最低权限的用户;

    chown nobody:nobody /var/log/usermonitor/usermonitor.log

    4.给该日志文件赋予所有人的写权限;

    chmod 002 /var/log/usermonitor/usermonitor.log

    5.设置文件权限,使所有用户对该文件只有追加权限 ;

    chattr +a /var/log/usermonitor/usermonitor.log

    6.编辑/etc/profile文件,添加如下任意脚本命令;

    代码1:

    export HISTORY_FILE=/var/log/usermonitor/usermonitor.log

    export PROMPT_COMMAND='{ date "+%y-%m-%d %T ##### $(who am i |awk "{print \$1\" \"\$2\" \"\$5}")  #### $(id|awk "{print \$1}") #### $(history 1 | { read x cmd; echo "$cmd"; })"; } >>$HISTORY_FILE'

    代码2:

    HISTTIMEFORMAT="%Y%m%d-%H%M%S: "

    export HISTTIMEFORMAT

    export HISTORY_FILE=/var/log/usermonitor/usermonitor.log

    export PROMPT_COMMAND='{ command=$(history 1 | { read x y; echo $y; }); logger -p local1.notice -t bash -i "user=$USER,ppid=$PPID,from=$SSH_CLIENT,pwd=$PWD,command:$command"; } >>$HISTORY_FILE'

    代码3:

    export HISTORY_FILE=/var/log/usermonitor/usermonitor.log

    PROMPT_COMMAND='{ date "+%Y-%m-%d %T ##### USER:$USER IP:$SSH_CLIENT PS:$SSH_TTY ppid=$PPID pwd=$PWD  #### $(history 1 | { read x cmd; echo "$cmd"; })";} >>$HISTORY_FILE'

    7.使配置生效

    source  /etc/profile

    更多相关内容
  • linux查看ssh用户登录日志与操作日志

    千次阅读 2021-01-17 19:06:05
    本文章来给各位同学介绍一下关于linux查看ssh用户登录日志与操作日志,登录日志只要在linux中就可以查看了,如果是操作日志我们需要自己先增加,然后再可以直接查看了,下面我都举了实例说明。ssh用户登录日志linux...

    本文章来给各位同学介绍一下关于linux查看ssh用户登录日志与操作日志,登录日志只要在linux中就可以查看了,如果是操作日志我们需要自己先增加,然后再可以直接查看了,下面我都举了实例说明。

    ssh用户登录日志

    linux下登录日志在下面的目录里:

    代码如下

    cd /var/log

    查看ssh用户的登录日志:

    代码如下

    less secure

    1. 日志简介

    日志对于安全来说,非常重要,他记录了系统每天发生的各种各样的事情,你可以通过他来检查错误发生的原因,或者受到攻击时攻击者留下的痕迹。日志主要的功能有:审计和监测。他还可以实时的监测系统状态,监测和追踪侵入者等等。

    在Linux系统中,有三个主要的日志子系统:

    连接时间日志–由多个程序执行,把纪录写入到/var/log/wtmp和/var/run/utmp,login等程序更新wtmp和 utmp文件,使系统管理员能够跟踪谁在何时登录到系统。进程统计–由系统内核执行。当一个进程终止时,为每个进程往进程统计文件(pacct或acct)中写一个纪录。进程统计的目的是为系统中的基本服务提供命令使用统计。

    错误日志–由syslogd(8)执行。各种系统守护进程、用户程序和内核通过syslog(3)向文件/var/log/messages报告值得注意的事件。另外有许多UNIX程序创建日志。像HTTP和FTP这样提供网络服务的服务器也保持详细的日志。 常用的日志文件如下:

    access-log 纪录HTTP/web的传输

    acct/pacct 纪录用户命令

    aculog 纪录MODEM的活动

    btmp 纪录失败的纪录

    lastlog 纪录最近几次成功登录的事件和最后一次不成功的登录

    messages 从syslog中记录信息(有的链接到syslog文件)

    sudolog 纪录使用sudo发出的命令

    sulog 纪录使用su命令的使用

    syslog 从syslog中记录信息(通常链接到messages文件)

    utmp 纪录当前登录的每个用户

    wtmp 一个用户每次登录进入和退出时间的永久纪录

    xferlog 纪录FTP会话

    utmp、wtmp和lastlog日志文件是多数重用UNIX日志子系统的关键–保持用户登录进入和退出的纪录。有关当前登录用户的信息记录在文件utmp中;登录进入和退出纪录在文件wtmp中;最后一次登录文件可以用lastlog命令察看。数据交换、关机和重起也记录在wtmp文件中。所有的纪录都包含时间戳。这些文件(lastlog通常不大)在具有大量用户的系统中增长十分迅速。例如wtmp文件可以无限增长,除非定期截取。许多系统以一天或者一周为单位把wtmp配置成循环使用。它通常由cron运行的脚本来修改。这些脚本重新命名并循环使用wtmp文件。通常,wtmp在第一天结束后命名为wtmp.1;第二天后wtmp.1变为wtmp.2等等,直到wtmp. 7。

    每次有一个用户登录时,login程序在文件lastlog中察看用户的UID。如果找到了,则把用户上次登录、退出时间和主机名写到标准输出中,然后login程序在lastlog中纪录新的登录时间。在新的lastlog纪录写入后,utmp文件打开并插入用户的utmp纪录。该纪录一直用到用户登录退出时删除。utmp文件被各种命令文件使用,包括who、w、users和finger。

    下一步,login程序打开文件wtmp附加用户的utmp纪录。当用户登录退出时,具有更新时间戳的同一utmp纪录附加到文件中。wtmp文件被程序last和ac使用。

    2. 具体命令

    wtmp和utmp文件都是二进制文件,他们不能被诸如tail命令剪贴或合并(使用cat命令)。用户需要使用who、w、users、last和ac来使用这两个文件包含的信息。

    who:who命令查询utmp文件并报告当前登录的每个用户。Who的缺省输出包括用户名、终端类型、登录日期及远程主机。例如:who(回车)显示

    代码如下

    chyang pts/o Aug 18 15:06

    ynguo pts/2 Aug 18 15:32

    ynguo pts/3 Aug 18 13:55

    lewis pts/4 Aug 18 13:35

    ynguo pts/7 Aug 18 14:12

    ylou pts/8 Aug 18 14:15

    如果指明了wtmp文件名,则who命令查询所有以前的纪录。命令who /var/log/wtmp把报告自从wtmp文件创建或删改以来的每一次登录。

    w:w命令查询utmp文件并显示当前系统中每个用户和它所运行的进程信息。例如:w(回车)显示:3:36pm up 1 day, 22:34, 6 users, load average: 0.23, 0.29, 0.27

    代码如下

    USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT

    chyang pts/0 202.38.68.242 3:06pm 2:04 0.08s 0.04s -bash

    ynguo pts/2 202.38.79.47 3:32pm 0.00s 0.14s 0.05 w

    lewis pts/3 202.38.64.233 1:55pm 30:39 0.27s 0.22s -bash

    lewis pts/4 202.38.64.233 1:35pm 6.00s 4.03s 0.01s sh/home/users/

    ynguo pts/7 simba.nic.ustc.e 2:12pm 0.00s 0.47s 0.24s telnet mail

    ylou pts/8 202.38.64.235 2:15pm 1:09m 0.10s 0.04s -bash

    users:users用单独的一行打印出当前登录的用户,每个显示的用户名对应一个登录会话。如果一个用户有不止一个登录会话,那他的用户名把显示相同的次数。例如:users(回车)显示:chyang lewis lewis ylou ynguo ynguo

    last:last命令往回搜索wtmp来显示自从文件第一次创建以来登录过的用户。例如:

    代码如下

    chyang pts/9 202.38.68.242 Tue Aug 1 08:34 – 11:23 (02:49)

    cfan pts/6 202.38.64.224 Tue Aug 1 08:33 – 08:48 (00:14)

    chyang pts/4 202.38.68.242 Tue Aug 1 08:32 – 12:13 (03:40)

    lewis pts/3 202.38.64.233 Tue Aug 1 08:06 – 11:09 (03:03)

    lewis pts/2 202.38.64.233 Tue Aug 1 07:56 – 11:09 (03:12)

    SSH操作日志

    ssh程序自动添加日志功能:

    1、首先创建存放日志的文件夹并开放读写权限

    代码如下

    $ mkdir ~/ssh_logs/

    $ sudo chmod -R 777 ~/ssh_logs/

    2、将原有ssh程序修改为另外一个名字,然后创建一个执行脚本,脚本中调用原来的ssh程序,只是在调用的时候添加了之前说的tee命令

    代码如下

    $ sudo mv /usr/bin/ssh /usr/bin/ssh_ori

    $ sudo vi /usr/bin/ssh

    新建ssh文件内容如下:

    ———————————————————————

    #! /bin/shmkdir -p ~/ssh_logsIP=$(echo $1 | grep -oP “((?:(?:25[0-5]|2[0-4]d|[01]?d?d).){3}(?:25[0-5]|2[0-4]d|[01]?d?d))”)

    LOGNAME=${IP}_$(date +”%Y%m%d_%T”)

    ssh_ori $@ | tee -a ~/ssh_logs/${LOGNAME}.log

    ———————————————————————

    脚本中首先利用正则表达式将访问IP提取出来,然后根据IP和当前时间戳决定日志文件名称,最后调用原有ssh程序(添加tee命令功能)

    3、添加执行权限

    代码如下

    $ sudo chmod a+x /usr/bin/ssh

    后续使用ssh登录主机进行操作时会将操作及输出写入到对应的日志文件中,日志文件格式为【访问IP_8位日期_时分秒.log】举例:

    每次执行【ssh 192.168.1.100 -l user1】 或者 【ssh user1@192.168.1.100】时(不支持使用主机名)会根据当前时间及访问IP生成一个新的日志文件:【192.168.1.100_20130726_17:36:18.log】,

    展开全文
  • linux 用户行为审计

    千次阅读 2018-06-05 13:32:15
    1.创建用户审计文件存放目录和审计日志文件 ; mkdir -p /var/log/usermonitor/ 2.创建用户审计日志文件; echo usermonitor >/var/log/usermonitor/usermonitor.log 3.将日志文件所有者赋予一个最低权限的用户; ...

    在/etc/profile文件下添加如下shell即可(注意文件的权限问题!!)

    [plain] view plain copy
    1. if ! test -z  "$BASH_EXECUTION_STRING" ; then  
    2.           echo "===== $(date "+%F  %T") $USER nologin cmd:   $BASH_EXECUTION_STRING" >>/var/log/command.log  
    3.   elif  shopt -q login_shell ; then  
    4.           printf "====== $(date "+%F  %T") new login the last cmd: ">>/var/log/command.log  
    5.   else  
    6.           printf "====== $(date "+%F  %T") su  the last cmd:  ">>/var/log/command.log  
    7.   fi  
    8.   export  HISTTIMEFORMAT="%F %T  $USER  ${SSH_TTY:5} ${SSH_CLIENT%% *}  "  
    9.   export PROMPT_COMMAND="history  1|tail -1|sed 's/^[ ]\+[0-9]\+   //'>> /var/log/command.log"  

    所有命令会被记录在/var/log/command.log可以查看。


    一:配置调试

    1.创建用户审计文件存放目录和审计日志文件 ;
    mkdir -p /var/log/usermonitor/

    2.创建用户审计日志文件;
    echo usermonitor >/var/log/usermonitor/usermonitor.log

    3.将日志文件所有者赋予一个最低权限的用户;
    chown nobody:nobody /var/log/usermonitor/usermonitor.log

    4.给该日志文件赋予所有人的写权限;
    chmod 002 /var/log/usermonitor/usermonitor.log

    5.设置文件权限,使所有用户对该文件只有追加权限 ;
    chattr +a /var/log/usermonitor/usermonitor.log
    6.编辑/etc/profile文件,添加如下任意脚本命令;

    代码1:
    export HISTORY_FILE=/var/log/usermonitor/usermonitor.log
    export PROMPT_COMMAND='{ date "+%y-%m-%d %T ##### $(who am i |awk "{print \$1\" \"\$2\" \"\$5}")  #### $(id|awk "{print \$1}") #### $(history 1 | { read x cmd; echo "$cmd"; })"; } >>$HISTORY_FILE'

    代码2:
    HISTTIMEFORMAT="%Y%m%d-%H%M%S: "
    export HISTTIMEFORMAT
    export HISTORY_FILE=/var/log/usermonitor/usermonitor.log
    export PROMPT_COMMAND='{ command=$(history 1 | { read x y; echo $y; }); logger -p local1.notice -t bash -i "user=$USER,ppid=$PPID,from=$SSH_CLIENT,pwd=$PWD,command:$command"; } >>$HISTORY_FILE'

    代码3:
    export HISTORY_FILE=/var/log/usermonitor/usermonitor.log
    PROMPT_COMMAND='{ date "+%Y-%m-%d %T ##### USER:$USER IP:$SSH_CLIENT PS:$SSH_TTY ppid=$PPID pwd=$PWD  #### $(history 1 | { read x cmd; echo "$cmd"; })";} >>$HISTORY_FILE'
    7.使配置生效
    source  /etc/profile

    展开全文
  • Teleport是一款Golang语言开发的用来替代sshd的ssh服务器,支持通过 SSH 或者 HTTPS 远程访问,支持集群、Web登陆、SSH历史记录还重放用以操作分享和安全审计,基于Golang ssh包构建开发,实现完全兼容OpenSSH。...
    d409b6be988aef1a70e39ed31a55db3f.png

    Teleport是一款Golang语言开发的用来替代sshd的ssh服务器,支持通过 SSH 或者 HTTPS 远程访问,支持集群、Web登陆、SSH历史记录还重放用以操作分享和安全审计,基于Golang ssh包构建开发,实现完全兼容OpenSSH。

    338171b190554f6d5eae347f389b8baa.png

    最近Teleport 4.2版本中新增加ssh增强的回话记录功能用来接收非结构化的ssh会话,并将其通过结构化事件流来输出。该功能使用到了Linux内核中集成的一项新技术eBPF(简称为BPF)。用来完善Teleport审计功能的不足之处。本文虫虫就给大家介绍Teleport中是如何做的。

    背景

    Teleport的一个优势就是,可以对ssh会话全程记录。该功能可以捕获用户屏幕上显示的所有内容。之后,可以使用该记录回放还原所有操作,以便于审计。这些记录易于理解,并提供了有关用户在会话过程中所做操作和显示的信息

    然而,和其他同类工具一样(堡垒机),Teleport也有不足之处,用户可以使用一些方法绕过会话记录。其中包括:

    混淆命令:

    比如通过加密或者其他方式对命令予以混淆。比如下面的语句,用base64编码对要执行的命令进行了混淆。

    echo Y3VybCBodHRwOi8vd3d3LmV4YW1wbGUuY29tCg== | base64 -d | sh

    这样实际的执行命令(curl example.com)不会直接被记录。

    Shell脚本:

    如果用户通过上传并执行脚本的方式,也不能捕获脚本中运行的命令,只能捕获脚本的输出。

    终端控制:

    ssh终端可以支持多种控件,比如用户可以禁用终端回显的控件,在一些应用程序通常会使用。例如sudo命令当它们提示用户输入密码时。这是也不能在ssh记录中捕获它们。

    此外,由于TTY流是非结构化性质,会话记录在某种程度上可能难以捕获和监视。

    技术实现

    为了解决安全审计的这些不足,Teleport需要一种能将非结构化ssh会话转换为结构化事件流的方法。这就是本文要说的增强回话记录功能,具体功能展示如下:

    33cb2a207b8edb89b9630cdd7af5bbcd.gif

    技术选型

    通过多种方法对比,包括了内容从正则表达式模式匹配之类的临时方法到自己解析原始SSH会话之类的方法,还探索了Linux提供的各种API和系统,例如Audit,fanotify和BPF等,在走技术对比时候,要考虑的两个标准是准确性和性能问题:

    减少误报,最好减少到零。监控系统(安全审计),首先要考虑是的准确性问题,如果报警很多,则对警报的关注度就会减少。可能会导致严重问题被忽略掉。

    减少由监控引起的任何性能影响,最好为零。监控系统要尽量避免影响系统的性能。

    多种方法中,误报问题都很严重。无法对构成SSH会话的字节流进行准确的解析和解释,不能防止警报疲劳。

    还有一些方法,会有性能问题。比如Linux Audit。

    通过查看文件系统访问,有一些替代方法。最突出的两个是inotify和fanotify。inotify不错,做为了初始备选项,但是其缺少递归目录监视功。fanotify更有希望,也存在两个问题。

    布伦丹.格雷格在BPF性能工具书中提到,在重负载时,opensnoop比对fanotify,fanotify 占了67%的CPU,而opensnoop只用到1%。

    Linux内核最近合并到一个补丁,以提高fanotify的性能,使其更适合于对整个文件系统监视,这样可以在Teleport中的使用更加紧密地契合。然而,补丁需要在Linux 5.1中才被合并,目前还没有开箱即用的主流发行版支持。

    考虑到这些考虑因素,Teleport最终选择了基于BPF程序链构建的解决方案,该解决方案减少了误报并且对性能的影响最小。

    BPF介绍

    BPF,原本是Unix的一个包过滤器,伯克利包过滤器(Berkeley Packet Filter)。后来被移植到了Linux中。2013 年,Alexei Starovoitov 对 BPF 做完善和改进,新版本被命名为 eBPF (extended BPF),简写为BPF,而将老的BPF叫做cBPF(classic BPF)。eBPF在增加了映射和尾调用等新特性,并且还重写了JIT 编译器。新版语言比 cBPF 更接近原生机器语言。BPF允许用户空间程序以安全和高效的方式从内核中的某些位置挂接并发出事件。

    安全意味着BPF程序不会陷入无限循环而导致系统瘫痪。BPF程序不太可能像内核模块一样可能使整个操作系统崩溃。

    BPF程序也很有效,如果不能足够快地使用它们,则丢弃事件,而不是拖累整个系统的性能。

    目前Linux中有大量的系统工具都是基于BPF进行了重构(比如iptables),布伦丹.格雷格的书《BPF高性能工具》中(blog中)介绍了大量的工具可以供大家学习。

    afcda37c0ffbfcaf8f1117a7e61c2a50.png

    Teleport对接BPF

    Teleport中使用了三个BPF程序:execsnoop捕获程序执行,opensnoop捕获程序打开的文件,tcpconnect捕获程序建立的TCP连接。

    为了更好地理解这些BPF程序的功能,可以运行时查看execsnoop的输出man ls。

    add5822f2cefaabaab445b50a7ba4bbe.png

    看起来,简单地运行man二进制文件似乎是在幕后执行了许多其他程序。

    Teleport 将这些程序嵌入其二进制文件中,并且在启用"增强的会话记录"功能后,它将生成并运行它们。

    39da4b91c61c1d1164cd604928f68546.png

    这些程序本身是调试和跟踪的出色工具,它能给出系统上正在执行什么操作,而不仅限于一个用户。

    要将程序执行与特定的SSH会话相关联,还使用了cgroups(尤其是cgroupv2)。Teleport启动SSH会话时,它将首先重新启动自身并将其置于cgroup中。这不仅允许该进程,而且可以使用唯一ID跟踪Teleport启动的所有将来进程。Teleport运行的BPF程序已更新,还可以发出执行它们的程序的cgroup ID。这样就可以将事件与特定的SSH会话和身份相关联。

    局限性

    目前Teleport没有完成增强的会话记录。仍然存在一些差距,将以后版本解决。

    值得指出的是,通过会话记录,Teleport可以捕获由于其特权位置而构成会话的字节流(字节流必须流过Teleport)。至关重要的是,会话记录的完整性不依赖于主机自己报告的任何信息。但是,增强的审核功能依赖于主机准确地向Teleport报告信息。如果主机的完整性受到损害,则增强审核的完整性也会收到影响。此外,Teleport仅监控系统中最关键的部分系统调用,而不是全部调用。

    目前,增强的会话记录最适合非root用户,对有权访问root的用户可以通过多种方式禁用增强会话记录。

    实践

    在没有背景的情况下,可以使用下面的脚本进行增强的会话记录。

    e252888779fb2b52dcd973eea2a262a7.png
    a986c6e175a4e9a976f612a82963a0fa.png

    首先启动Ubuntu 19.04或RHEL/CentOS 8 VM,然后运行上面的脚本。该脚本会安装内核头文件和bcc-tools,这是运行增强会话记录的先决条件。此外,脚本还安装jq,一个命令的json解析工具(虫虫以前文章介绍过,可以参考),这有助于可视化结构化事件流。

    按照说明输入终端后,屏幕上看到以下类似的信息:

    b105fb92ce7a8329ee151c8f472927a8.png

    由此可见,curl程序是由用户以两种方式执行的。首先是程序本身的执行。第二个是程序的行为,curl发出了网络请求,也可以看到它。你可以尝试执行其他操作,例如混淆的命令,或者脚本方式执行等,应该在日志中查看执行结果。

    要求

    Teleport增强会话记录的最低要求需要启动BPF支持的 Linux内核4.18 。目前有多个发行版本可直接使用它,包括Ubuntu 19.04,Debian 10和RHEL/CentOS 8。

    还需要安装内核头文件和bcc-tools。对于上面列出的操作系统,发行版的包管理器中安装它们,比如对Centos 8只需运行

    yum install -y kernel-headers bcc-tools

    或者Ubuntu下执行

    apt install -y linux-headers-$(uname -r) bpfcc-tools

    如果尚未打包bcc-tools,则必须从源代码构建它们。

    要在Teleport中启用增强的会话记录,只需在文件配置中将其启用即可,如下所示:

    ssh_service:
    enhanced_recording:
    enabled: yes

    结论

    尽管没有任何监控系统是绝对可靠的,但采用具有多种防护措施的纵深防御策略可以帮助发现问题并采取适当的措施。Teleport的增强型会话记录功能可以为系统上运行的命令的安全审计,提供更强大的记录和操作可见性。

    展开全文
  • Linux操作行为审计

    2021-05-16 15:07:42
    一 使用[PROMPT_COMMAND]变量 实现审计操作行为功能【实现原理】在bash里设置环境变量PROMPT_COMMAND,这个命令会在用户提示符之前被执行,可以用来记录用户操作历史【实现步骤】1、创建行为审计日志文件touch/var/log...
  • 作用:建立“事后”安全保障措施,保存网络安全事件及行为信息,为网络安全事件分析提供线索及证据,以便发现潜在的网络安全威胁行为,开展网络安全风险分析机管理1-2 网络安全审计相关标准1-2-1 美国标准美国国家...
  • 日志格式基本相似软件包:rsyslog-5.8.10-8主要程序:/sbin/rsyslogd配置文件:/etc/rsyslog.conf配置文件:/etc/rsyslog.conf语法日志设备类型 说明auth pam产生的日志authpriv ssh,ftp等登陆信息的验证信息cron ...
  • logger -p local4.info ["LOCAL|`grep IPADDR /etc/sysconfig/network-scripts/ifcfg-eth0|sed 's/IPADDR=//g'`" -- "SSH|$SSH_CONNECTION $SSH_TTY" -- "USER|$USER" -- "PWD|$PWD"]: "$msg"; }'" 在/etc/rsyslog....
  • 1、SSL VPN部署外置数据中心,通过获取外置数据中心MYSQL数据库内的用户行为日志,得到User_Nme和IP_Address字段的对应关系。 2、深信服行为审计设备使用数据库认证的单点登录方式,从数据库拉取User_Nme和IP_...
  • 一、合理使用Shell历史命令记录功能Linux下可通过history命令查看用户所有历史操作记录,同时shell命令操作记录默认保存在用户目录下的.bash_history文件中,有时候***会删除.bash_history文件,这就需要合理备份....
  • 为什么管理员用户不能通过HTTP、SSH、或者Telnet登录设备,不显示web页面? 2 为什么HTTPS无法打开防火墙的WEB页面? 3 在“系统管理>管理员”,“添加管理员”页面中的"管理IP/掩码"的作用是什么? 3 用户登录成功...
  • 禁止root用户SSH登录 [code="java"] vim /etc/ssh/sshd_config UseDNS no PermitRootLogin no #AddressFamily inet #SyslogFacility AUTHPRIV #PasswordAuthentication yes service sshd ...
  • 再添加设备用户“Windows”和“Centos”八、为用户授权:admin01作为超级管理员可管理Windows和Centos两台主机,admin02只能管理Windows主机,admin03只能管理Centos主机九、 在管理工作站使用SSH工具通
  • 用户的登录审计

    千次阅读 2018-10-17 15:47:39
    利用用户的登录审计,可以查看到有那些用户远程登录过服务器,在一定程度上保证了服务器的安全。 在实验中,我们在真机上上打开两个shell窗口,ctrl+shift+t可以开启两个并列的shell窗口  1.分别远程登录两个...
  • 利用rsyslog 配置用户行为日志审计

    千次阅读 2017-05-09 17:14:53
    logger -p local4.info ["LOCAL|`grep IPADDR /etc/sysconfig/network-scripts/ifcfg-eth0|sed 's/IPADDR=//g'`" -- "SSH|$SSH_CONNECTION $SSH_TTY" -- "USER|$USER" -- "PWD|$PWD"]: "$msg"; }'" 保存 ...
  • Spring Boot 实现在线Web SSH( Java Web版本的Xsehll)

    千次阅读 多人点赞 2021-01-28 17:13:11
    前言 之前讲过,我现在在一家国企上班,由于集团网络环境是封闭的内网...堡垒机,即在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段监控和记录运维人员对网络内的
  • 在一些生产平台或者做安全审计的时候往往看到一大堆的用户SSH连接到同一台服务器,或者连接后没有正常关闭进程还驻留在系统内。限制SSH连接数与手动断开空闲连接也有必要之举,这里写出手动剔出其他用户的过程。 1...
  • Linux 用户行为审计

    2014-02-08 16:01:00
    1、创建行为审计日志文件 touch /var/log/Command_history.log 2、将日志文件的所有者改为权限低的用户NOBODY chown nobody.nobody /var/log/Command_history.log 3、赋予所有用户对日志文件写的权限...
  • 运维审计平台之堡垒机和跳板机堡垒机的发展第一代堡垒机---跳板机第二代堡垒机第三代堡垒机---运维安全审计平台堡垒机和跳板机的概念跳板机堡垒机两者的区别 堡垒机的发展 第一代堡垒机—跳板机 第一代堡垒机叫做...
  • 审计系统&代码审计

    千次阅读 2019-10-15 15:13:41
    安全产品 审计系统 代码审计
  • 一、合理使用Shell历史命令记录功能Linux下可通过history命令查看用户所有历史操作记录,同时shell命令操作记录默认保存在用户目录下的.bash_history文件中,有时候***会删除.bash_history文件,这就需要合理备份....
  • 在购买好服务器后,去查看主机登录日志和登录失败日志,如果发现入下图所示的长时段短时间内多IP登录失败日志,不要怀疑,你的服务器正在经受试图远程登录主机的暴力破解行为。 如何防范: 1.修改22端口号 一边都采用...
  • Linux下安全审计audit 系统审计 1.审计介绍 Linux 审计系统提供了一种跟踪系统...可以通过其他安全措施(例如 SELinux)进一步防止这些违规行为。 audit能够在日志中记录的信息有: 时间的日期时间、类型和结果 主体和
  • 数据库审计系统(启明设备)

    千次阅读 2022-03-29 21:10:44
    它通过各类数据库访 问行为进行解析、分析、记录、汇报,用来帮助用户事前规划预防,事中实时监视、违规行为响应, 事后合规报告、事故追踪溯源,同时加强内外部行为监管、促进核心资产的正常运营,是国内审计数 据...
  • SSH暴力破解

    万次阅读 2019-06-10 16:27:20
    ssh暴力破解解决方案 https://www.cnblogs.com/walkingzq/p/8191900.html  最近在使用腾讯云服务器的过程中,被比特币黑客黑了一次服务器(如下图所示)。 图1 比特币勒索信息  继而认识到网络安全的重要性...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 3,198
精华内容 1,279
关键字:

ssh审计用户行为