浅析Linux操作系统登录帐户的管理和审计_unix linux

  1、登录帐户管理

  在Linux下登录用户帐户的管理是通过utmp和wtmp这两个工具来实现的。wtmp还记录系统重启和系统状态变化的有关信息。所有与utmp和wtmp相关的数据都分别被保存在/var/run/utmp和/var/log/wtmp这两个文件中。这两个文件均归属于root用户所有并且访问权限被设置为644,这些文件中的数据是加密过的。可以用dump-utmp这个工具将原始的数据转换为ASCII的数据,便于系统管理员分析用户的登录以及系统重启和系统状态变化的有关信息。

  登录帐户管理的相关命令

  last 命令提供了每个用户登录和退出的时间,同时还有系统重新启动以及运行状态改变的信息。默认情况下,last分析/var/log/wtmp文件并显示每个连接和运行状态改变的信息。Last输出的信息可能太多而让查看的人无法应付,典型的用法是last –5,表示查看/var/log/wtmp中的最新5条记录的内容。

  who 命令的主要用处是报告系统中当前登录进来的用户信息。Who命令提供了如下的信息:用户登录进入使用的系统终端设备、用户的地址、使用的主机名、X显示的窗口(假如使用了X Windows系统)、用户是否接受其他用户的消息和交谈请求等。

  ac 命令提供了有关用户连接的大概统计,我们可以使用带有标志 d 和 p 的 ac 命令。标志 d 显示了一天的总连接统计,标志 p 显示了每一个用户的连接时间。这种统计信息的方式对了解与探测入侵有关的用户情况及其他活动很有帮助。

  lastlog 命令读取/var/log/lastlog文件并产生用户最后一次登录信息的报告lastlog命令也用于在Linux系统中检查不寻常的登录记录。

  2、系统帐户的审计

  Linux操作系统可以通过设置日志文件可以对每个用户的每一条命令进行纪录,不过这一功能默认是没有打开的。

  开启这个功能的过程:

  # touch /var/log/pacct
  # action /var/log/pact

  也可以用自已的文件来代替/var/log/pacct这个文件。但必须路径和文件名的正确。

  sa命令与 ac 命令一样,sa 是一个统计命令。该命令可以获得每个用户或每个命令的进程使用的大致情况,并且提供了系统资源的消费信息。在很大程度上,sa 又是一个记帐命令,对于识别特殊用户,特别是已知特殊用户使用的可疑命令十分有用。另外,由于信息量很大,需要处理脚本或程序筛选这些信息。

  lastcomm命令, 与 sa 命令不同,lastcomm 命令提供每一个命令的输出结果,同时打印出与执行每个命令有关的时间印戳。就这一点而说,lastcomm 比 sa 更有安全性。如果系统被入侵,请不要相信在 lastlog、utmp、wtm中记录的信息,但也不要忽略,因为这些信息可能被修改过了。另外有可能有人替换了who程序来掩人耳目。通常,在已经识别某些可疑活动后,进程记帐可以有效的发挥作用。使用 lastcomm 可以隔绝用户活动或在特定时间执行命令。

  3、使用logrorate对审计文件管理

  /var/log/utmp,/var/log/wtmp和/var/log/pacct文件都是动态的数据文件。wtmp和pacct文件是在文件尾部不断地增加记录。在繁忙的网络上,这些文件会变得很大。Linux提供了一个叫logrotate的程序,它允许管理员对这些文件进行管理。

  Logrotate读取/etc/logrotate.d目录下的文件。管理员通过该目录下的脚本文件,控制logrotate程序的运作。一个典型的脚本文件如下:

{

rotate 5

weekly

errors root@serve1r

mail root@server1

copytruncate

compress

size 100k

}

  脚本文件的含义如下:

  ● rotate 5——保留该文件一份当前的备份和5份旧的备份。
  ● weekly——每周处理文件一次,通常是一周的第一天。
  ● errors——向邮件地址发送错误报告。
  ● mail——向邮件地址发送相关的信息。
  ● copytruncate——允许进程持续地记录,备份文件创建后,把活动的日志文件清空。
  ● compress——使用gzip工具对旧的日志文件进行压缩。
  ● size 100k——当文件超过100k 时自动处理。

时间: 2024-09-20 06:18:13

浅析Linux操作系统登录帐户的管理和审计_unix linux的相关文章

浅析Linux系统帐户的管理和审计

1.登录帐户管理 在Linux下登录用户帐户的管理是通过utmp和wtmp这两个工具来实现的.wtmp还记录系统重启和系统状态变化的有关信息.所有与utmp和wtmp相关的数据都分别被保存在/var/run/utmp和/var/log/wtmp这两个文件中.这两个文件均归属于root用户所有并且访问权限被设置为644,这些文件中的数据是加密过的.可以用dump-utmp这个工具将原始的数据转换为ASCII的数据,便于系统管理员分析用户的登录以及系统重启和系统状态变化的有关信息. 登录帐户管理的相

linux下控制帐户过期的方法

linux下控制帐户过期的方法: 企业里一般给无人管理的角色账户或开发人员临时需求等可以设定账户有效期,提升安全! 法一:添加用户时 useradd oldboy -e 01/28/12 或修改下面文件的参数: [root@oldboy skel]# grep EXPIRE /etc/default/useradd     EXPIRE= 实例7:指定参数执行useradd -D -e [root@oldboy ~]# date +%F 2012-01-25 [root@oldboy ~]# u

Win7操作系统用户帐户控制功能

  在家庭和公司环境中,使用标准用户帐户可以提高安全性并降低总体拥有成本.当用户使用标准用户权限(而不是管理权限)运行时,系统的安全配置(包括防病毒和防火墙配置)将得到保护.这样,用户将能拥有一个安全的区域,可以保护他们的帐户及系统的其余部分.对于企业部署,桌面 IT 经理设置的策略将无法被覆盖,而在共享家庭计算机上,不同的用户帐户将受到保护,避免其他帐户对其进行更改. 但是,很久以来,Windows 的用户一直都在使用管理权限运行.因此,软件通常都开发为使用管理帐户运行,并且(通常无意间)依赖

Win8.1系统自动登录帐户设置技巧

  在Win8.1系统中SkyDrive和本地"文件"整合成为一个新功能.要使用SkyDrive,我们就需要使用微软账户登陆Win8.1系统.如果Win8.1系统使用本地账户登陆系统,在配置SkyDrive时会提示需要切换至微软账户登陆系统才能使用SkyDrive,并保持现有设置不变.相对于普通家庭用户,如何每次开机都输入密码,会觉得很繁琐,甚是麻烦-下面系统之家小编就为大家介绍一下Win8.1系统自动登录帐户设置技巧! 1.首先按下"Win + R"组合键调出&q

超大型SEM帐户的管理优化方法

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 昨天和一位朋友就超大型帐户SEM管理的问题作了一点讨论,觉得可能对大家有用,整理补充了一下,贴出来. 问答中涉及的帐户结构其实是大中型帐户管理中最重要的一个部分,这次没有展开,如果读者有兴趣的话,可以单独起一篇讨论. 问: 超过10万关键词的超大型账户,怎么分组比较方便管理呢? 现在这个账户主要靠类型去分的,比如行业/通用/疑问/竞品等等,但

Win7系统登录帐户没有Administrator选项如何解决

  1.右键点击计算机,选择"管理"; 2.在"本地用户和组"右侧,右键"Administrator"选择属性; 3.在打开的属性窗口中,取消"帐户已禁用"的选项并点击确定按钮保存. 4. 注销win7系统登录界面会有两个帐户给你选择,点击Administrator帐户登录即可.

Linux rpm tar 操作系统下软件的安装与卸载方法_unix linux

Linux操作系统下软件的安装与卸载在Windows下安装软件时,只需运行软件的安装程序(setup.install等)或者用zip等解压缩软件解开即可安装,运行反安装程序(uninstall.unware."卸载"等)就能将软件清除干净,完全图形化的操作界面,简单到只要用鼠标一直点击"下一步"就可以了.而Linux好象就不一样了,很多的初学者都抱怨在Linux下安装和卸载软件非常地困难,没有像使用Windows时那么直观.其实在Linux下安装和卸载软件也非常简单

Linux 适合你吗?(一)_unix linux

    第一部分:Linux 之你问我答     我能在我的电脑上安装 Linux 吗?    当然!但是要使它工作正常你需要做一些准备--甚至于替换掉某些硬件.围绕着 Linux 的一个为时已久的问题就是硬件支持问题.你可能无法在每一台电脑上都安装 Linux 并期望它工作正常.例如,你可能会遇到图形显示卡在 Linux 下无法正常工作的问题,因为一些厂商并不提供为 Linux 图形界面(XFree86)设计的驱动程序,而这种情况在目前得到了很大的改观:最新发布的XFree86提供了对 NVi

Linux下的压缩与解压缩命令详细解析_unix linux

linux zip命令 zip -r myfile.zip ./*将当前目录下的所有文件和文件夹全部压缩成myfile.zip文件,-r表示递归压缩子目录下所有文件. 2.unzipunzip -o -d /home/sunny myfile.zip把myfile.zip文件解压到 /home/sunny/-o:不提示的情况下覆盖文件:-d:-d /home/sunny 指明将文件解压缩到/home/sunny目录下: 3.其他zip -d myfile.zip smart.txt删除压缩文件中