zoukankan      html  css  js  c++  java
  • 应急溯源SSH日志查看小技巧

    正常登陆 Linux 以下几个位置记录相关日志:

    SSH登录操作相关的日志有以下几个位置:

    • /var/log/btmp,记录错误的登录尝试,查询命令:lastb
      /var/log/auth.log,记录认证成功的用户
      /var/log/secure,记录与安全相关的日志信息
      /var/log/lastlog,记录用户上次登录信息
      /var/log/wtmp,记录当前和曾经登入系统的用户信息,查询命令:last
      /var/run/utmp,记录当前正在登录系统的用户信息,查询命令:w
      ~/.bash_history,记录从最开始至上一次登录所执行过的命令,查询命令:history

      无法直接查看的需要通过:
      strings /var/log/wtmp  
      来查看内容

      正常日志溯源的时候  执行

      ps -aux|grep sshd
      

        

       正常登陆 putty 

    • sshd:root@pts/0

    • 使用sftp、rsyn、scp等协议进行登录

    • sshd:root@notty
       

    使用notty,能够绕过以下日志:
    
    /var/log/lastlog,记录用户上次登录信息
    /var/log/wtmp,记录当前和曾经登入系统的用户信息,查询命令:last
    /var/run/utmp,记录当前正在登录系统的用户信息,查询命令:w
    ~/.bash_history,记录从最开始至上一次登录所执行过的命令,查询命令:history


    防御关注点

    查看错误的登录尝试,查询命令:lastb,文件位置/var/log/btmp 查看认证成功的用户,文件位置/var/log/auth.log 查看tcp连接,查看命令:netstat -vatn
  • 相关阅读:
    java 多线程面试题
    finally语句块一定会被执行吗
    redis 数据结构
    哪些可以作为GC ROOT
    mybatis 源码分析--日志分析
    mybatis selectKey
    spring cache 和redis
    kafka是如何保证消息不被重复消费的
    kafka面试题及答案
    浅谈:2019 前端面试题
  • 原文地址:https://www.cnblogs.com/anbuxuan/p/13667809.html
Copyright © 2011-2022 走看看