正常登陸 Linux 以下幾個位置記錄相關日志:
SSH登錄操作相關的日志有以下幾個位置:
-
/var/log/btmp,記錄錯誤的登錄嘗試,查詢命令:lastb /var/log/auth.log,記錄認證成功的用戶 /var/log/secure,記錄與安全相關的日志信息 /var/log/lastlog,記錄用戶上次登錄信息 /var/log/wtmp,記錄當前和曾經登入系統的用戶信息,查詢命令:last /var/run/utmp,記錄當前正在登錄系統的用戶信息,查詢命令:w ~/.bash_history,記錄從最開始至上一次登錄所執行過的命令,查詢命令:history
無法直接查看的需要通過:strings /var/log/wtmp
來查看內容正常日志溯源的時候 執行
ps -aux|grep sshd
正常登陸 putty
-
sshd:root@pts/0
-
使用sftp、rsyn、scp等協議進行登錄
-
sshd:root@notty
使用notty,能夠繞過以下日志: /var/log/lastlog,記錄用戶上次登錄信息 /var/log/wtmp,記錄當前和曾經登入系統的用戶信息,查詢命令:last /var/run/utmp,記錄當前正在登錄系統的用戶信息,查詢命令:w ~/.bash_history,記錄從最開始至上一次登錄所執行過的命令,查詢命令:history
防御關注點
查看錯誤的登錄嘗試,查詢命令:lastb,文件位置/var/log/btmp 查看認證成功的用戶,文件位置/var/log/auth.log 查看tcp連接,查看命令:netstat -vatn