正常登陆 Linux 以下几个位置记录相关日志:
SSH登录操作相关的日志有以下几个位置:
-
/var/log/btmp,记录错误的登录尝试,查询命令:lastb /var/log/auth.log,记录认证成功的用户 /var/log/secure,记录与安全相关的日志信息 /var/log/lastlog,记录用户上次登录信息 /var/log/wtmp,记录当前和曾经登入系统的用户信息,查询命令:last /var/run/utmp,记录当前正在登录系统的用户信息,查询命令:w ~/.bash_history,记录从最开始至上一次登录所执行过的命令,查询命令:history
无法直接查看的需要通过:strings /var/log/wtmp
来查看内容正常日志溯源的时候 执行
ps -aux|grep sshd
正常登陆 putty
-
sshd:root@pts/0
-
使用sftp、rsyn、scp等协议进行登录
-
sshd:root@notty
使用notty,能够绕过以下日志: /var/log/lastlog,记录用户上次登录信息 /var/log/wtmp,记录当前和曾经登入系统的用户信息,查询命令:last /var/run/utmp,记录当前正在登录系统的用户信息,查询命令:w ~/.bash_history,记录从最开始至上一次登录所执行过的命令,查询命令:history
防御关注点
查看错误的登录尝试,查询命令:lastb,文件位置/var/log/btmp 查看认证成功的用户,文件位置/var/log/auth.log 查看tcp连接,查看命令:netstat -vatn