Linux入侵检测学习笔记1

入侵检测：

查看系统日志

        查看安全相关的日志

查看异常流量

查看可疑进程

文件安全性检查

---

本地检测方法

云平台的检测方法

---

查看系统日志：

系统日志大概分两类：

messages：系统日志，信息量比较大。服务的启动停止的信息。

secure：安全日志，所有系统登录的安全验证都在这个日志里出现。

less /var/log/messages


# 实时观察日志文件变化
tail -f /var/log/messages

查看安全相关日志：

less /var/log/secure


tail -f /var/log/secure

ssh远程登录失败日志：

grep -i Failed /var/log/secure

ssh远程登录成功的日志：

grep -i Accepted /var/log/secure

统计登录成功或失败的ip，并进行去重降序排列。

grep -i Accepted /var/log/secure | awk '{print ${NF-3}}' |grep '^0-9' | sort | uniq -c |sort -rn


grep -i Failed /var/log/secure |awk '{print $(NF-3)}' |egrep '^[0-9]' |sort |uniq -c |sort -rn

查看历史用户登录信息last：

查看最后5条登录信息：

last -a -5

如果看到有人通过ssh 22端口，那么root用户怎么把这个人登出去呢？

ss -anput |grep ":22"

# 看到pid值

kill -9 pid值

查看指定时间之前的登录信息：

last -a -t 20190210123030

查看登录系统的用户相关登录失败的信息：

last -a -f /var/log/btmp

查看记录每个用户最后的登录信息：

lastlog

统计当前在线情况：

w

查看系统主日志：

less /var/log/messages

查看计划任务：

less /var/log/cron
cat /var/spool/cron/*
less /etc/crontab
ls /etc/cron.*