运维

Centos伪造登陆成功日志

MarginNote 3 - Mac端PDF阅读批注工具 激活码价格:¥69.00
赤友 NTFS for Mac 助手 -  磁盘硬盘格式读写软件注册激活码价格:¥35.00
虫洞 -  iPhone安卓投屏操控 电脑手机多屏协同,价格:¥45.00
namesilo全网最便宜域名注册商,输入折扣码:nsilo20立减1美元!

我们知道,centos的登陆成功日志使用last就可以查询出来,我不断的搜索资料发现它是存在/var/log/wtmp里面我们修改这个文件就可以达到目,结果打开之后傻眼了,全是看不到的,能看到的也是几个ip,然后我们改一下ip试一下,发现改完之后last命令出来的一眼就能看懂是被改了。
其实我们还是要在这个文件上面做文章,不过不是这样改,下面我来演示一下,先last看一下我们的登陆成功日志。
Centos伪造登陆成功日志
然后我们清空之后,再来看一下是上面样子的
Centos伪造登陆成功日志
好的,登陆记录不在了。下面就需要用到我提前准备的东西了。把我准备的东西追加到这个文件里面
Centos伪造登陆成功日志
然后看一下效果
Centos伪造登陆成功日志
和第一次的对比,我们发现,最近几条记录就这样不在了。借用这个例子,让大家惊醒一下,下面开始我们今天的正题“如何记录每个用户登陆都操作了什么”其实这个很简单,上网一搜就能找到很多的脚本,我这里就价绍一个,先把脚本放出来一下,不喜勿喷。

PS1='[\u@\h \W]\$ '
history
USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`
if [ "$USER_IP" = "" ]
then
USER_IP=`hostname`
fi
if [ ! -d /tmp/dbasky ]
then
mkdir /tmp/dbasky
chmod 777 /tmp/dbasky
fi
if [ ! -d /tmp/dbasky/${LOGNAME} ]
then
mkdir /tmp/dbasky/${LOGNAME}
chmod 300 /tmp/dbasky/${LOGNAME}
fi
export HISTSIZE=4096
DT=`date "+%Y-%m-%d_%H:%M:%S"`
export HISTFILE="/tmp/dbasky/${LOGNAME}/${USER_IP} dbasky.$DT"
chmod 600 /tmp/dbasky/${LOGNAME}/*dbasky* 2>/dev/null

我们在/etc/profile末尾加入这代码,然后保存。接下来就是测试我们的效果,新开一个连接,上去随便输入几个命令,来几个正常的,来几个不正常的,然后退出。
Centos伪造登陆成功日志
好,我们要开始检验我们的成果。
Centos伪造登陆成功日志
发现怎么这样,其实这个正常,我们不能随便来个用户都可以看到吧。所以我su成root看一下
Centos伪造登陆成功日志

(0)

本文由 podipod软库网 作者:DevOps 发表,转载请注明来源!

关键词:,
ToDesk - 安全好用流畅远程控制软件 替代TeamViewer,价格:¥108.00
Eagle - 图片收集管理必备软件 激活码价格:¥119.00
PDF Expert 2 - Mac上优秀的PDF阅读编辑工具,价格:¥119.00

热评文章

发表评论