溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
本文使用一個 最普通的巡檢用戶,查看RedHat 7.4系統日志,檢查 用戶登錄痕跡,說明如何判斷是否存在 違規訪問記錄,如跳板訪問等。
這里需要關心的日志列表如下
/var/log/lastlog 二進制文件,記錄了最近的連接記錄
/var/log/wtmp 二進制文件,記錄每個用戶的登錄和注銷信息
/var/log/secure 文本文件,記錄用戶的登錄行為信息
/var/log/btmp 二進制文件,記錄失敗的登錄嘗試信息
/run/utmp 二進制文件,記錄當前登錄用戶信息
01
—
使用cat命令查看
如果只有cat等基礎命令,二進制文件輸出的內容會以亂碼形式出現
不過雖然亂碼很多,但是也可以看到關鍵信息, 圖中可以看出歷史訪問的IP信息,以及所用的訪問用戶。 如果發現可疑的IP地址,那就可以深入的行為分析了。
02
—
使用strings命令查看
用strings命令可以查看二進制文件信息,輸出的內容比較接近文本內容。分別查看文件內容如下:
執行命令: strings lastlog
關注的要點是檢查是否存在可疑IP地址
[root@test log]# strings lastlog ^pts/2 182.207.162.59 [pts/1 ^pts/0 182.207.162.59 ^pts/0 ^pts/7
執行命令: strings wtmp
因為輸出內容過多,截取部分展示,關注的要點是用戶和IP地址是否可疑
ts/0cams 182.207.177.97 pts/0 pts/0 ts/0root 182.207.177.122 pts/0 pts/0 ts/0cams 182.119.114.218 pts/0 pts/0 ts/0cams 182.207.162.59
執行命令: strings /run/utmp
關注當前是否還有其他IP地址連上服務器
[cams@test log]$ strings /run/utmp reboot 3.10.0-693.el7.x86_64 runlevel 3.10.0-693.el7.x86_64 pts/0 ts/0cams 182.207.162.59 pts/1 ts/1 pts/2 ts/2root 182.207.162.59
03
—
其他情況
但是也可能存在部分系統日志無權限訪問的情況
[cams@test log]$ strings btmp strings: btmp: 權限不夠 [cams@test log]$ strings secure strings: secure: 權限不夠
對于 執行cat命令 提示權限不夠的文件,如果有sudo cat權限就能看,如果沒有sudo cat權限就不能看。一般情況下,生產環境巡檢用戶擁有sudo cat權限。
對于btmp文件,可以結合secure文件判斷是否存在 嘗試登錄行為,重點還是關注日志中的IP地址是否可疑,訪問行為是否合規等!
截取和展示/var/log/secure文本文件部分內容,可以清晰看到帶時間戳的日志信息,失敗的登錄信息是Failed開頭,成功的登錄信息是Accepted開頭,IP地址和用戶等信息也清晰可見。
Jun 18 19:13:09 test sshd[24648]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=182.207.162.59 user=root Jun 18 19:13:09 test sshd[24648]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root" Jun 18 19:13:11 test sshd[24648]: Failed password for root from 182.207.162.59 port 28680 ssh3 Jun 18 19:13:16 test sshd[24648]: error: Received disconnect from 182.207.162.59 port 28680:0: [preauth] Jun 18 19:13:16 test sshd[24648]: Disconnected from 182.207.162.59 port 28680 [preauth] Jun 18 19:13:59 test sshd[24683]: Accepted password for root from 182.207.162.59 port 28814 ssh3 Jun 18 19:13:59 test sshd[24683]: pam_unix(sshd:session): session opened for user root by (uid=0)
可能有的同學會問,為什么不用grep、awk、sed等命令匹配日志文件中的IP地址,或者執行shell腳本,然后輸出結果呢?
答:因為一般生產環境有命令白名單,限制了很多命令的使用,最基礎的命令才能適用于絕大多數生產環境。另外,巡檢用戶只有讀權限,創建和執行shell腳本等也不會被允許。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
