Linux中用户的登陆审计,文件的同步,文件归档,压缩
######用户的登陆审计 ######
###首先在真机中连接入虚拟机(便于操作)
在真机中开启shell 中的虚拟机desktop 和 server 容易分不清:
如下:
如上图分不清 哪个是虚拟机desktop 哪个是虚拟机 server.
所以 利用 hostnamectl指令
hostnamectl set-hostname node1.example.com
hostnamectl set-hostname node2.example.com
注:设定完成后,需要logout 退出 重新登陆才能生效
上面 我们将 server 命名为了:node1 将 desktop命名为了 :node2
但是 为了方便操作不引起麻烦,我们还是常规的把 node1 命名给:desktop, 把node2命名给:server
即 desktop==node1 server==node2
#########正式进入审计###########
1.w ##查看正在使用当前系统的用户
-i ##查看并显示用户IP
-f ##查看用户使用来源
/var/run/utmp (存在此目录文件中)
2.last ##查看使用过并退出的用户信息
/var/log/wtmp (存在此目录文件中)
3.lastb ##试图登陆但没成功的用户
/var/log/btmp (存在此目录文件中)
如图:
node1为desktop 此时desktop(172.25.254.23)被真机kiosk(172.25.254.148)运用了ssh连接操作。
当 我们用node2=server 这台虚拟机ssh连接desktop=node1时 登陆信息更新变化如下:
可以看到server登陆 desktop的登陆信息 显示了出来。
last ,lastb指令操作如下:
可以看到 server尝试登陆 desktop 3次都失败了,lastb 记录了登录失败信息。
###########系统间文件的同步##################
同步文件和文件夹的命令:::rsync
rsync -r ... [email protected].?:... #同步自己的什么文件或者目录 到 那台主机的 什么地方去
随意组合
-ro #可以同步上所有人信息
-rg #可以同步上所有组信息
-rp #可以同步上所传文件,文件夹的权限
-rt #可以同步发送端的时间 去 接收端
-rl #可以同步 链接文件 到 接收端去
注: 对 /dev/pts/ 字符设备目录里的东西 需要
rsync -Dr (还可加g,t,l,o,p,) /dev/pts/ [email protected]:/mnt/ 才能成功同步过来。
如下:
在node2=server 虚拟机的 /mnt目录下 创建westos1,wesot2,weosto3,westos3,wesots4,westos5五个文件,并且改写所有者,所有组,以及权限。
将 server中/mnt下的westos文件同步给 desktop
发送成功但是 -r 不能同步 链接文件。
观察发现 用户权限 以及 所有人所有组和 链接文件file 都没能正常同步过来到desktop上
当输入 rsync -ro /mnt/ [email protected]:/mnt/ 时:
所有人 信息 正常同步了过来。
############# 文件归档tar ##############
tar命令能够将大型文件集汇集为一个文件(存档),并且该存档可以用gzip,bzip,xz压缩方式进行压缩
tar cf name.tar (自己起的归档名) /../..(把哪的文件归档)--- ##创建在当前路径中的文件
eg:
tar xf etc.tar
tar tf etc.tar
列出绝对路径下的tar存档的内容
tar xf etc.tar (将绝对路径的归档 提取到 当前路径)
给 存档etc.tar里面加入新文件
tar -rf etc.tar file
取出文件 tar -f etc.tar --get hahahah(存档里还留着)
删除 存档里的 文件或者文档 tar -f etc.tar --delete hahahah
tar xf etc.tar -C /root/Desktop (将归档提取到 /root/Desktop)
###创建压缩的tar存档###
###压缩存档###
zip -r etc.tar.zip etc.tar
#查看文件 归档 压缩包 容量大小:du -sh file/dir/tar/zip...
解压压缩包:etc.tar.zip
unzip etc.tar.zip
gzip etc.tar 压缩 及 gunzip etc.tar.gz 解压
bzip2 etc.tar 压缩 及 bunzip2 etc.tar.bz2 解压
xz etc.tar压缩 及 unxz etc.tar.xz 解压
##tar命令支持三种不同的压缩方式:
gzip(.gz)——————————————压缩速度最快
bzip2(.bz2)-------------------------------------------文件压缩更小 可用性不广
xz(.xz)-------------------------------------------------压缩率最佳
##归档的同时进行压缩
tar zcf /.../ name.tar.gz file ----------把当前路径中的文件归档压缩为gzip文件并保存到指定目录中
tar jcf /.../ name.,,, bz2 file --------------- .................................................bzip2 .........................
tar Jcf /.../ name ..... xz ------------------- .................................................xz ...........................
##file + etc.tar.gz 查看压缩包类型
下图可以看到 gz压缩方式没有两外两种那么强,但是用时最短,xz的压缩率最佳
及其 解压:::
#######################查看日志#########################
什么类型的日志。什么级别的日志 /var/log/file ######日志采集规则
######日志类型分为i:
auth ##pam产生的日志
authpriv ##ssh,ftp等登陆信息的验证信息
cron ##时间任务相关
kern ##内核
lpr ##打印
mail ##邮件
mark (syslog)-rsyslog ##服务内部的信息,时间标识
news ##新闻组
user ##用户程序产生的相关信息
uucp ##unix to unix copy,unix主机之间相关的通讯
local 1~7 ##自定义的日志设备
##日志级别分为:
debug ##有调式信息的,日志信息最多
info ##一般信息的日志,最常用
notice ##最具有重要性的普通条件的信息
warning ##警告级别
err ##错误级别,阻止某个功能或者模块不能正常工作的信息
crit ##严重级别,阻止某个系统或者整个软件不能正常工作的信息
alert ##需要立刻修改的信息
emerg ##内核崩溃等严重信息
none ##什么都不记录
!!注意:从上到下,级别从低到高,记录的信息越来越少
!!详细的可以查看手册:man 3 syslog
/var/log/secure 目录底下存放的是sshd登陆信息
在 /etc/rsyslog.conf 文件中 自己编写 : *.*
#####将日志远程同步到其他主机上去 #####
实验说明:
node1-desktop(172.25.254.23)为发送端,发送日志
node2-server(172.25.254.123)为接收端,接受日志
对node1进行编写操作(远程发送日志信息给 server(172.25.254.123))
注:编写完毕后,restart rsyslog.service 服务
对node2:开启UDP传输的 514接口
restart rsyslog.service服务
关闭node2的防火墙:
开始发送咯!: ##logger .... 可以被直观记入日志中
在 node1 里 logger rng
看 node2里 的日志能否接收到来判断是否传输同步日志成功
结果如上,同步传输日志成功!
################两台主机时间同步#######################
node1:发送端
node2:接收端(接受同步node1的时间)
对node1(172.25.254.23):
1. vim /etc/chrony 进行编写修改
2.重新启动chrony服务 : systemctl restart chronyd.service
3.关闭防火墙
对node2(172.25.254.123):
1. vim /etc/chrony 进行编写修改
2.重新启动chrony服务: systemctl restart chronyd.service
3.关闭防火墙:systemctl stop firewalld
4.查看是否同步到了: chronyc sources -v
上面 :^* 172.25.254.24表示同步成功
结果:
node1的时间进行修改
node2还没有进行同步时:
node2开启同步后:
可以看到时间同步了过来。
注:如果主机端重新更改时间,主机,客户机都得重新启动 chronyd.sevice服务 才能生效。而且生效之后还有一段延迟的时间需要等待。
#############日志时间的同步(同步为客户端时间)#############
对node1发送端不作操作
对node2接收端:
node1发送日志信息 logger nihaoa
node2接受到:(但nihaoa时间为 node1端的时间不是node2本机时间)
2.对node2:vim /etc/rsyslog.conf 进行编写
加入了 $template ... 那行 ,和 /var/log/messages ; 后面的WESTOS
重新启动 rsyslog.service服务
node1 再次发送日志信息logger nihaoaa
node2 进行接收
可以发现 node1发送过来的日志时间信息匹配成了我们node2接收端的时间信息.