首页 > 系统相关 >Linux系统安全

Linux系统安全

时间:2022-12-10 22:12:35浏览次数:39  
标签:log 登录 etc logrotate Linux var 日志 系统安全

 

账户安全

用户的基本概念

 

 

账户风险与安全策略

  • 特权用户排查
# 不能包含root以外的UID为0的用户
awk -F: '($3 ==0){print $1}' /etc/passwd

 

文件系统安全

文件系统的格式

 

 

安全访问与权限设置

  • 排查任何人都有写权限的目录
find / -xdev -type f \(-perm -0002 -a !-perm -1000 \) -print
find / -xdev -type d \(-perm -0002 -a !-perm -1000 \) -print
  • 配置默认的umask值:027
  • 检查未授权的SGID/SUID 
find / -type f -perm -6000 -ls

 

日志分析

系统日志的分类

    对于日常服务器的运行状态是否正常、遭受攻击时如何查找被攻击的痕迹等情况,Linux日志系统都提供了相应的解决方案。日志系统可以记录当前系统中发生的各种事件,比如登录日志记录每次登录的来源和时间、系统每次启动和关闭的情况、系统错误等。

 日志的主要用途:

  1. 系统审计:记录登录系统的用户和日常行为
  2. 监测追踪: 系统遭受到攻击时如何追踪溯源到攻击者
  3. 分析统计:系统的性能、错误等统计

/var/log/messages 这是Linux最核心的日志文件,假若某个服务没有定义日志文件,那么该服务尝试的日志文件就会记录到这个文件中,该日志每周归档一次,默认只保留5次。归档的方法都是由/etc/logrotate.conf这个文件来控制的。

/var/log/wtmp 查看用户的登录,注销信息,同时记录系统的启动,重启,关机等事件。不能用cat直接查看,必须用last查看

/var/log/btmp 和wtmp类似,也不能用cat直接查看,用lastb查看,记录用户登录无效的历史。

/var/log/maillog 用来记录邮件相关的日志,比如发给谁,是否发出去

/var/log/cron 记录了系统定时任务相关的日志

/var/log/cpus/ 记录cpu信息的日志

/var/log/lastlog 记录所有用户的最后一次登录时间,只可能通过lastlog命令查看

/var/log/sudo.log 记录使用sudo发出的命令,需要先配置/etc/sudoerslogfile=/var/log/sudo.log

 

日志分析工具

  • Logrotate

logrotate是操作系统用来管理日志的工具,支持日志的切割、压缩、清理以及邮件报警等,通过crontab服务定时运行,也可以用这个工具来管理我们自己的服务日志,只需要简单配置下配置文件即可

Logrotate使用方法

  1. 默认配置文件路径:/etc/logrotate.conf
  2. 单次执行: logrotate -f /etc/logrotate.conf
  3. 定时执行: /etc/crontab */5 * * * * root /sbin/logrotate /etc/logrotate.conf  5分钟执行一次

Logrotate配置参数

Rotate:保留多少个历史文件

Weekly: 每周执行

Missingok: 忽略文件缺失信息

Notifempty: 如果文件为空,不切分文件

Delaycompress: 转存的文件下一次转存压缩

Sharedescripts:postrotate 脚本只执行一次

Postrotate/endscript:切割后执行的命令

系统日志的审计方法

  1. 查看系统中的用户: cat /etc/passwd | grep /bin/bash
  2. 登录用户和登录时候的IP w
  3. 查询历史命令 history
  4. 分析登录IP,在wtmp
  5. 定时任务,sudo.log 排查

 

标签:log,登录,etc,logrotate,Linux,var,日志,系统安全
From: https://www.cnblogs.com/0x00000/p/16971358.html

相关文章

  • Linux 在过去几年发生的六种变化
    随着时间的推移,​​Linux​​ 桌面已经发生了变化,这种变化是逐渐发生的,因此这里汇总了过去十年中Linux桌面体验发生变化的一些具体方式。资深用户知道Linux桌面已经走......
  • Linux sudo command All In One
    LinuxsudocommandAllInOneLinuxsudocommandAllInOnesuperuserdo=>sudosubstituteuser=>susubstituteuserdo=>sudo#切到root帐号/superuser......
  • (转)linux expect 详解
    原文:https://blog.csdn.net/zxycyj1989/article/details/125837697介绍expect是由DonLibes基于Tcl(ToolCommandLanguage)语言开发的,主要应用于自动化交互式操作的场景,......
  • (转)Linux下使用Shell脚本实现FTP自动上传和下载文件
    原文:https://blog.csdn.net/qq_34718338/article/details/123701278登录FTP实现下载文件功能FTP服务器:192.168.0.199FTP路径:/ftphome/data本地路径:/local/data将文件从FTP......
  • 【备忘录】龙蜥anolis系统+deepin桌面(DDE),配置edge浏览器、无线网卡、AMD声卡、网易云
    写在前头:因为我的电脑用的AMDCPU和AMD显卡,声音是显卡的HDMI传输到带喇叭显示器上的,所以必须用可以安装AMD驱动的内核系统(RHCK),目前ANCK内核不能安装AMD驱动。1.配置桌面......
  • Linux命令行下删除文件内容
    我们介绍的例子会修改原始文件,所以如果大家在平时使用或者练习的时候,最好先做好备份。我们大家都知道,在vim中删除文件中的某几行很简单,只需要按下dd键即可。那么,在不主......
  • Linux命令之vmstat
    一、使用说明vmstat可以对操作系统的内存信息、进程状态、CPU活动、磁盘等信息进行监控,不足之处是无法对某个进程进行深入分析。二、用法及参数说明-a:显示活跃和非......
  • Linux监控命令之top
    一、命令说明top命令能够实时监控系统的运行状态,并且可以按照CPU、内存和执行时间进行排序,同时top命令还可以通过交互式命令进行设定显示,通过top命令可以查看即时活跃......
  • Linux监控命令之iostat
    一、使用说明iostat是对系统的磁盘I/O操作进行监控,它的输出主要显示磁盘读写操作的统计信息,同时给出CPU的使用情况。同vmstat一样,iostat不能对某个进程进行深入分析,......
  • Linux监控命令之sar
    一、使用说明sar是目前Linux上最为全面的系统性能分析工具之一,可以从多方面对系统的活动进行报告,包括:文件的读写情况、系统调用的使用情况、磁盘I/O、CPU效率、内存使......