淺析Linux系統帳戶的管理和審計(轉)
1、登入帳戶管理
在Linux下登入使用者帳戶的管理是透過utmp和wtmp這兩個工具來實現的。wtmp還記錄系統重啟和系統狀態變化的有關資訊。所有與utmp和wtmp相關的資料都分別被儲存在/var/run/utmp和/var/log/wtmp這兩個檔案中。這兩個檔案均歸屬於root使用者所有並且訪問許可權被設定為644,這些檔案中的資料是加密過的。可以用dump-utmp這個工具將原始的資料轉換為ASCII的資料,便於系統管理員分析使用者的登入以及系統重啟和系統狀態變化的有關資訊。
登入帳戶管理的相關命令
last 命令提供了每個使用者登入和退出的時間,同時還有系統重新啟動以及執行狀態改變的資訊。預設情況下,last分析/var/log/wtmp檔案並顯示每個連線和執行狀態改變的資訊。Last輸出的資訊可能太多而讓檢視的人無法應付,典型的用法是last –5,表示檢視/var/log/wtmp中的最新5條記錄的內容。
who 命令的主要用處是報告系統中當前登入進來的使用者資訊。Who命令提供瞭如下的資訊:使用者登入進入使用的系統終端裝置、使用者的地址、使用的主機名、X顯示的視窗(假如使用了X Windows系統)、使用者是否接受其他使用者的訊息和交談請求等。
ac 命令提供了有關使用者連線的大概統計,我們可以使用帶有標誌 d 和 p 的 ac 命令。標誌 d 顯示了一天的總連線統計,標誌 p 顯示了每一個使用者的連線時間。這種統計資訊的方式對了解與探測入侵有關的使用者情況及其他活動很有幫助。
lastlog 命令讀取/var/log/lastlog檔案併產生使用者最後一次登入資訊的報告lastlog命令也用於在Linux系統中檢查不尋常的登入記錄。
2、系統帳戶的審計
Linux作業系統可以透過設定日誌檔案可以對每個使用者的每一條命令進行紀錄,不過這一功能預設是沒有開啟的。
開啟這個功能的過程:
# touch /var/log/pacct
# action /var/log/pact
也可以用自已的檔案來代替/var/log/pacct這個檔案。但必須路徑和檔名的正確。
sa命令與 ac 命令一樣,sa 是一個統計命令。該命令可以獲得每個使用者或每個命令的程式使用的大致情況,並且提供了系統資源的消費資訊。在很大程度上,sa 又是一個記帳命令,對於識別特殊使用者,特別是已知特殊使用者使用的可疑命令十分有用。另外,由於資訊量很大,需要處理指令碼或程式篩選這些資訊。
lastcomm命令, 與 sa 命令不同,lastcomm 命令提供每一個命令的輸出結果,同時列印出與執行每個命令有關的時間印戳。就這一點而說,lastcomm 比 sa 更有安全性。如果系統被入侵,請不要相信在 lastlog、utmp、wtm中記錄的資訊,但也不要忽略,因為這些資訊可能被修改過了。另外有可能有人替換了who程式來掩人耳目。通常,在已經識別某些可疑活動後,程式記帳可以有效的發揮作用。使用 lastcomm 可以隔絕使用者活動或在特定時間執行命令。
3、使用logrorate對審計檔案管理
/var/log/utmp,/var/log/wtmp和/var/log/pacct檔案都是動態的資料檔案。wtmp和pacct檔案是在檔案尾部不斷地增加記錄。在繁忙的網路上,這些檔案會變得很大。Linux提供了一個叫logrotate的程式,它允許管理員對這些檔案進行管理。
Logrotate讀取/etc/logrotate.d目錄下的檔案。管理員透過該目錄下的指令碼檔案,控制logrotate程式的運作。一個典型的指令碼檔案如下:
{rotate 5weeklyerrors root@serve1rmail root@server1copytruncatecompresssize 100k}
指令碼檔案的含義如下:
● rotate 5——保留該檔案一份當前的備份和5份舊的備份。
● weekly——每週處理檔案一次,通常是一週的第一天。
● errors——向郵件地址傳送錯誤報告。
● mail——向郵件地址傳送相關的資訊。
● copytruncate——允許程式持續地記錄,備份檔案建立後,把活動的日誌檔案清空。
● compress——使用gzip工具對舊的日誌檔案進行壓縮。
● size 100k——當檔案超過100k 時自動處理。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/10748419/viewspace-940030/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- Linux 帳戶管理(轉)Linux
- SAP系統預設的管理員帳戶和密碼密碼
- Linux 控制系統帳戶過期Linux
- 有效管理Windows系統帳戶許可權Windows
- Linux系統——架構淺析Linux架構
- Linux 管理員手冊(7)--管理使用者帳戶(轉)Linux
- Linux運維人員共用root帳戶許可權審計(轉至馬哥Linux運維)Linux運維
- 宜信支付結算賬戶系統淺析
- Linux系統呼叫機制淺析Linux
- [轉載]淺析海量使用者的分散式系統設計分散式
- Win10系統怎麼管理電子郵件和帳戶設定Win10
- 淺談Unix系統管理(轉)
- Linux安裝淺析(轉)Linux
- Linux作業系統記憶體淺析Linux作業系統記憶體
- 淺析 Linux 初始化 init 系統: SystemdLinux
- [分散式]分散式計算系統淺析分散式
- Oracle使用系統級觸發器審計重要帳號的DDL語句Oracle觸發器
- 淺析 Linux 初始化 init 系統(1):sysvinitLinux
- 淺析 Linux 初始化 init 系統(3) SystemdLinux
- 2 Day DBA-管理Oracle例項-管理使用者帳戶和安全-檢視使用者帳戶Oracle
- 2 Day DBA-管理Oracle例項-管理使用者帳戶和安全-關於使用者帳戶Oracle
- 淺析《先驅者》出色的難度系統設計
- UnixLike 系統 awk命令淺析
- 淺析 Qt 佈局系統QT
- 2 Day DBA-管理Oracle例項-關於管理帳戶和許可權-SYSDBA和SYSOPER系統許可權Oracle
- 淺談Linux的檔案系統(轉)Linux
- 防止駭客入侵系統建立隱藏帳戶
- Win10系統下管理員帳戶被鎖定如何解決Win10
- lsass.exe–系統錯誤安全帳戶管理初始化失敗
- 淺析Windows 2000的電源管理(轉)Windows
- 淺析 Linux 初始化 init 系統(2): UpStartLinux
- 淺析 Linux 的共享記憶體與 tmpfs 檔案系統Linux記憶體
- Win10系統禁用管理員帳戶後無法進入系統怎麼解決Win10
- 審計專案計劃管理的思考(轉)
- Linux 系統管理(上)(轉)Linux
- Linux 系統管理(中)(轉)Linux
- Linux 系統管理(下)(轉)Linux
- 淺析React之事件系統(二)React事件