浅析Linux系统帐户的管理和审计

2016-01-29 19:54 10 1 收藏

浅析Linux系统帐户的管理和审计,浅析Linux系统帐户的管理和审计

【 tulaoshi.com - Linux 】

  1、登录帐户管理

  在Linux下登录用户帐户的管理是通过utmp和wtmp这两个工具来实现的。wtmp还记录系统重启和系统状态变化的有关信息。所有与utmp和wtmp相关的数据都分别被保存在/var/run/utmp和/var/log/wtmp这两个文件中。这两个文件均归属于root用户所有并且访问权限被设置为644,这些文件中的数据是加密过的。可以用dump-utmp这个工具将原始的数据转换为ASCII的数据,便于系统管理员分析用户的登录以及系统重启和系统状态变化的有关信息。

  登录帐户管理的相关命令

  last 命令提供了每个用户登录和退出的时间,同时还有系统重新启动以及运行状态改变的信息。默认情况下,last分析/var/log/wtmp文件并显示每个连接和运行状态改变的信息。Last输出的信息可能太多而让查看的人无法应付,典型的用法是last –5,表示查看/var/log/wtmp中的最新5条记录的内容。

  who 命令的主要用处是报告系统中当前登录进来的用户信息。Who命令提供了如下的信息:用户登录进入使用的系统终端设备、用户的地址、使用的主机名、X显示的窗口(假如使用了X Windows系统)、用户是否接受其他用户的消息和交谈请求等。

  ac 命令提供了有关用户连接的大概统计,我们可以使用带有标志 d 和 p 的 ac 命令。标志 d 显示了一天的总连接统计,标志 p 显示了每一个用户的连接时间。这种统计信息的方式对了解与探测入侵有关的用户情况及其他活动很有帮助。

  lastlog 命令读取/var/log/lastlog文件并产生用户最后一次登录信息的报告lastlog命令也用于在Linux系统中检查不寻常的登录记录。

  2、系统帐户的审计

  Linux操作系统可以通过设置日志文件可以对每个用户的每一条命令进行纪录,不过这一功能默认是没有打开的。

  开启这个功能的过程:

  # touch /var/log/pacct
  # action /var/log/pact

(本文来源于图老师网站,更多请访问http://www.tulaoshi.com/linux/)

  也可以用自已的文件来代替/var/log/pacct这个文件。但必须路径和文件名的正确。

(本文来源于图老师网站,更多请访问http://www.tulaoshi.com/linux/)

  sa命令与 ac 命令一样,sa 是一个统计命令。该命令可以获得每个用户或每个命令的进程使用的大致情况,并且提供了系统资源的消费信息。在很大程度上,sa 又是一个记帐命令,对于识别特殊用户,特别是已知特殊用户使用的可疑命令十分有用。另外,由于信息量很大,需要处理脚本或程序筛选这些信息。

  lastcomm命令, 与 sa 命令不同,lastcomm 命令提供每一个命令的输出结果,同时打印出与执行每个命令有关的时间印戳。就这一点而说,lastcomm 比 sa 更有安全性。如果系统被入侵,请不要相信在 lastlog、utmp、wtm中记录的信息,但也不要忽略,因为这些信息可能被修改过了。另外有可能有人替换了who程序来掩人耳目。通常,在已经识别某些可疑活动后,进程记帐可以有效的发挥作用。使用 lastcomm 可以隔绝用户活动或在特定时间执行命令。

  3、使用logrorate对审计文件管理

  /var/log/utmp,/var/log/wtmp和/var/log/pacct文件都是动态的数据文件。wtmp和pacct文件是在文件尾部不断地增加记录。在繁忙的网络上,这些文件会变得很大。Linux提供了一个叫logrotate的程序,它允许管理员对这些文件进行管理。

  Logrotate读取/etc/logrotate.d目录下的文件。管理员通过该目录下的脚本文件,控制logrotate程序的运作。一个典型的脚本文件如下:

  {

  rotate 5

  weekly

  errors root@serve1r

  mail root@server1

  copytruncate

  compress

  size 100k

  }

  脚本文件的含义如下:

  ● rotate 5——保留该文件一份当前的备份和5份旧的备份。
  ● weekly——每周处理文件一次,通常是一周的第一天。
  ● errors——向邮件地址发送错误报告。
  ● mail——向邮件地址发送相关的信息。
  ● copytruncate——允许进程持续地记录,备份文件创建后,把活动的日志文件清空。
  ● compress——使用gzip工具对旧的日志文件进行压缩。
  ● size 100k——当文件超过100k 时自动处理。

来源:http://www.tulaoshi.com/n/20160129/1510369.html

延伸阅读
标签: 服务器
Linux进程和线程的基础与管理   一.进程的基本概念 程序是为了完成某种任务而设计的软件,比如vi是程序。什么是进程呢? 进程就是运行中的程序。一个运行着程序,可能有多个进程。比如Web服务器是Apache服务器,当管理员启动服务后,可能会有好多人来访问,也就是说许多用户同时请求httpd,Apache服务器将会创建多个httpd进程...
标签: 电脑入门
Linux为每个文件都分配了一个文件所有者,称为文件主,并赋予文件主惟一的注册名。对文件的控制取决于文件主或超级用户(root)。 文件或目录的创建者对所创建的文件或目录拥有特别使用权,文件的所有关系是可以改变的,您可以将文件或目录的所有权转让给其他用户,但只有文件主或root才有权改变文件的所有关系。 用户可以是用户名或用...
标签: 服务器
Linux系统中基本的用户管理方法   用户管理的配置文件 用户信息文件:/etc/passwd 密码文件:/etc/shadow 用户组文件:/etc/group 用户组密码文件:/etc/gshadow 用户配置文件: /etc/login.defs /etc/default/useradd 新用户信息文件:/etc/ske1 登陆信息:/etc/motd /etc/issue ...
标签: windows 操作系统
  文/刘晖 上个月家里买了一台电脑,家人立刻都迷上了这东西。老爸在网上看新闻,跟网友侃足球;老妈用电脑在联众挖坑;妹妹则在电脑里写日记,顺便练习自己在学校学的Word等办公软件的基本操作方法。不过现在问题出来了,老爸和妹妹在网上看到好看的网页都会添加到收藏夹中,时间一长两人为了在收藏夹中找到自己的收藏都要花不...
功能说明: 显示用户的ID,以及所属群组的ID。 语 法: id [-gGnru][--help][--version][用户名称] 补充说明: id会显示用户以及所属群组的实际与有效ID。若两个ID相同,则仅显示实际ID。若仅指定用户名称,则显示目前用户的ID。 参 数: -g或--group  显示用户所属群组的ID。  -G或--groups  显示用户...

经验教程

240

收藏

49
微博分享 QQ分享 QQ空间 手机页面 收藏网站 回到头部