在安全運維中,經常使用什麼命令來檢測入侵的情況呢? 本文只是拋磚引玉,這裡介紹最常用的五個命令,幫助大家發現系統潛在問題。
1、 last 這個命令可用於查看我們系統的成功登錄、關機、重啟等情況;這個命令就是將/var/log/wtmp文件格式化輸出。
參數選項
-a:把從何處登入系統的主機名稱或ip地址,顯示在最後一行;
-d:將IP地址轉換成主機名稱;
-f :指定記錄文件。
-n 或-:設置列出名單的顯示列數;
-R:不顯示登入系統的主機名稱或IP地址;
-x:顯示系統關機,重新開機,以及執行等級的改變等信息。
[root@localhost ~]# last
root pts/1 192.168.3.44 Mon Nov 13 18:03 still logged in
root pts/0 :0.0 Mon Nov 13 18:01 still logged in
root tty1 :0 Mon Nov 13 18:01 still logged in
reboot system boot 2.6.32-696.6.3.e Mon Nov 13 17:56 - 18:13 (00:17)
root pts/1 192.168.3.44 Tue Nov 7 17:25 - 18:03 (00:38)
root pts/0 :0.0 Tue Nov 7 17:24 - crash (6+00:32)
root tty1 :0 Tue Nov 7 17:23 - crash (6+00:32)
reboot system boot 2.6.32-696.6.3.e Tue Nov 7 17:14 - 18:13 (6+00:58)
root pts/0 :0.0 Thu Oct 26 20:02 - crash (11+22:12)
root tty1 :0 Thu Oct 26 20:01 - crash (11+22:13)
reboot system boot 2.6.32-696.6.3.e Thu Oct 26 20:00 - 18:13 (17+23:12)
root pts/2 192.168.1.117 Sat Oct 14 03:23 - crash (12+16:37)
2、lastb:這個命令用於查看登錄失敗的情況;這個命令就是將/var/log/btmp文件格式化輸出。
參數選項
-a:把從何處登入系統的主機名稱或ip地址顯示在最後一行;
-d:將IP地址轉換成主機名稱; -f:指定記錄文件;
-n或-:設置列出名單的顯示列數;
-R:不顯示登入系統的主機名稱或IP地址;
-x:顯示系統關機,重新開機,以及執行等級的改變等信息。
3、lastlog:這個命令用於查看用戶上一次的登錄情況;這個命令就是將/var/log/lastlog文件格式化輸出。
參數選項
-b:顯示指定天數前的登錄信息;
-h:顯示召集令的幫助信息;
-t:顯示指定天數以來的登錄信息;
-u:顯示指定用戶的最近登錄信息。
4、who:這個命令用戶查看當前登錄系統的情況;這個命令就是將/var/log/utmp文件格式化輸出。
參數選項
-H或--heading:顯示各欄位的標題信息列;
-i或-u或--idle:顯示閒置時間,若該用戶在前一分鐘之內有進行任何動作,將標示成"."號,如果該用戶已超過24小時沒有任何動作,則標示出"old"字符串;
-m:此參數的效果和指定"am i"字符串相同;
-q或--count:只顯示登入系統的帳號名稱和總人數;
-s:此參數將忽略不予處理,僅負責解決who指令其他版本的兼容性問題;
-w或-T或--mesg或--message或--writable:顯示用戶的信息狀態欄;
--help:在線幫助;
--version:顯示版本信息。
5、w:與who命令一致。
閱讀更多 Web安全陪跑團 的文章