linux查看ssh用戶登錄日志與操作日志
ssh用戶登錄日志
linux下登錄日志在下面的目錄里:
| 代碼如下 | 復制代碼 |
| cd /var/log |
|
查看ssh用戶的登錄日志:
| 代碼如下 | 復制代碼 |
| less secure |
|
1. 日志簡介
日志對於安全來說,非常重要,他記錄了系統每天發生的各種各樣的事情,你可以通過他來檢查錯誤發生的原因,或者受到攻擊時攻擊者留下的痕跡。日志主要的功能有:審計和監測。他還可以實時的監測系統狀態,監測和追蹤侵入者等等。
在Linux系統中,有三個主要的日志子系統:
連接時間日志–由多個程序執行,把紀錄寫入到/var/log/wtmp和/var/run/utmp,login等程序更新wtmp和 utmp文件,使系統管理員能夠跟蹤誰在何時登錄到系統。進程統計–由系統內核執行。當一個進程終止時,為每個進程往進程統計文件(pacct或acct)中寫一個紀錄。進程統計的目的是為系統中的基本服務提供命令使用統計。
錯誤日志–由syslogd(8)執行。各種系統守護進程、用戶程序和內核通過syslog(3)向文件/var/log/messages報告值得注意的事件。另外有許多UNIX程序創建日志。像HTTP和FTP這樣提供網絡服務的服務器也保持詳細的日志。 常用的日志文件如下:
access-log 紀錄HTTP/web的傳輸
acct/pacct 紀錄用戶命令
aculog 紀錄MODEM的活動
btmp 紀錄失敗的紀錄
lastlog 紀錄最近幾次成功登錄的事件和最后一次不成功的登錄
messages 從syslog中記錄信息(有的鏈接到syslog文件)
sudolog 紀錄使用sudo發出的命令
sulog 紀錄使用su命令的使用
syslog 從syslog中記錄信息(通常鏈接到messages文件)
utmp 紀錄當前登錄的每個用戶
wtmp 一個用戶每次登錄進入和退出時間的永久紀錄
xferlog 紀錄FTP會話
utmp、wtmp和lastlog日志文件是多數重用UNIX日志子系統的關鍵–保持用戶登錄進入和退出的紀錄。有關當前登錄用戶的信息記錄在文件utmp中;登錄進入和退出紀錄在文件wtmp中;最后一次登錄文件可以用lastlog命令察看。數據交換、關機和重起也記錄在wtmp文件中。所有的紀錄都包含時間戳。這些文件(lastlog通常不大)在具有大量用戶的系統中增長十分迅速。例如wtmp文件可以無限增長,除非定期截取。許多系統以一天或者一周為單位把wtmp配置成循環使用。它通常由cron運行的腳本來修改。這些腳本重新命名並循環使用wtmp文件。通常,wtmp在第一天結束后命名為wtmp.1;第二天后wtmp.1變為wtmp.2等等,直到wtmp. 7。
每次有一個用戶登錄時,login程序在文件lastlog中察看用戶的UID。如果找到了,則把用戶上次登錄、退出時間和主機名寫到標准輸出中,然后login程序在lastlog中紀錄新的登錄時間。在新的lastlog紀錄寫入后,utmp文件打開並插入用戶的utmp紀錄。該紀錄一直用到用戶登錄退出時刪除。utmp文件被各種命令文件使用,包括who、w、users和finger。
下一步,login程序打開文件wtmp附加用戶的utmp紀錄。當用戶登錄退出時,具有更新時間戳的同一utmp紀錄附加到文件中。wtmp文件被程序last和ac使用。
2. 具體命令
wtmp和utmp文件都是二進制文件,他們不能被諸如tail命令剪貼或合並(使用cat命令)。用戶需要使用who、w、users、last和ac來使用這兩個文件包含的信息。
who:who命令查詢utmp文件並報告當前登錄的每個用戶。Who的缺省輸出包括用戶名、終端類型、登錄日期及遠程主機。例如:who(回車)顯示
| 代碼如下 | 復制代碼 |
| chyang pts/o Aug 18 15:06 ynguo pts/2 Aug 18 15:32 ynguo pts/3 Aug 18 13:55 lewis pts/4 Aug 18 13:35 ynguo pts/7 Aug 18 14:12 ylou pts/8 Aug 18 14:15 |
|
如果指明了wtmp文件名,則who命令查詢所有以前的紀錄。命令who /var/log/wtmp把報告自從wtmp文件創建或刪改以來的每一次登錄。
w:w命令查詢utmp文件並顯示當前系統中每個用戶和它所運行的進程信息。例如:w(回車)顯示:3:36pm up 1 day, 22:34, 6 users, load average: 0.23, 0.29, 0.27
| 代碼如下 | 復制代碼 |
| USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT chyang pts/0 202.38.68.242 3:06pm 2:04 0.08s 0.04s -bash ynguo pts/2 202.38.79.47 3:32pm 0.00s 0.14s 0.05 w lewis pts/3 202.38.64.233 1:55pm 30:39 0.27s 0.22s -bash lewis pts/4 202.38.64.233 1:35pm 6.00s 4.03s 0.01s sh/home/users/ ynguo pts/7 simba.nic.ustc.e 2:12pm 0.00s 0.47s 0.24s telnet mail ylou pts/8 202.38.64.235 2:15pm 1:09m 0.10s 0.04s -bash |
|
users:users用單獨的一行打印出當前登錄的用戶,每個顯示的用戶名對應一個登錄會話。如果一個用戶有不止一個登錄會話,那他的用戶名把顯示相同的次數。例如:users(回車)顯示:chyang lewis lewis ylou ynguo ynguo
last:last命令往回搜索wtmp來顯示自從文件第一次創建以來登錄過的用戶。例如:
| 代碼如下 | 復制代碼 |
| chyang pts/9 202.38.68.242 Tue Aug 1 08:34 – 11:23 (02:49) cfan pts/6 202.38.64.224 Tue Aug 1 08:33 – 08:48 (00:14) chyang pts/4 202.38.68.242 Tue Aug 1 08:32 – 12:13 (03:40) lewis pts/3 202.38.64.233 Tue Aug 1 08:06 – 11:09 (03:03) lewis pts/2 202.38.64.233 Tue Aug 1 07:56 – 11:09 (03:12) |
|
SSH操作日志
ssh程序自動添加日志功能:
1、首先創建存放日志的文件夾並開放讀寫權限
| 代碼如下 | 復制代碼 |
| $ mkdir ~/ssh_logs/ $ sudo chmod -R 777 ~/ssh_logs/ |
|
2、將原有ssh程序修改為另外一個名字,然后創建一個執行腳本,腳本中調用原來的ssh程序,只是在調用的時候添加了之前說的tee命令
| 代碼如下 | 復制代碼 |
| $ sudo mv /usr/bin/ssh /usr/bin/ssh_ori $ sudo vi /usr/bin/ssh 新建ssh文件內容如下: --------------------------------------------------------------------- #! /bin/sh mkdir -p ~/ssh_logs IP=$(echo $1 | grep -oP "((?:(?:25[0-5]|2[0-4]d|[01]?d?d).){3}(?:25[0-5]|2[0-4]d|[01]?d?d))") LOGNAME=${IP}_$(date +"%Y%m%d_%T") ssh_ori $@ | tee -a ~/ssh_logs/${LOGNAME}.log |
|
---------------------------------------------------------------------
腳本中首先利用正則表達式將訪問IP提取出來,然后根據IP和當前時間戳決定日志文件名稱,最后調用原有ssh程序(添加tee命令功能)
3、添加執行權限
| 代碼如下 | 復制代碼 |
| $ sudo chmod a+x /usr/bin/ssh | |
后續使用ssh登錄主機進行操作時會將操作及輸出寫入到對應的日志文件中,日志文件格式為【訪問IP_8位日期_時分秒.log】舉例:
每次執行【ssh 192.168.1.100 -l user1】 或者 【ssh user1@192.168.1.100】時(不支持使用主機名)會根據當前時間及訪問IP生成一個新的日志文件:【192.168.1.100_20130726_17:36:18.log】,