查看和監控登陸過服務器的用戶

 

產看和監控登陸過服務器的用戶，防黑客麼，防止誤操作麼，監控麼，均可。

 

方法1：

  *1 找到用戶登陸時執行的腳本文件，比如.bashrc或者xxx_profile文件

  *2 知道如何判斷登陸用戶的ip，host，時間等

  *3 測試並加入腳本

類似腳本加入  文件：

PS1="`whoami`@`hostname`:"'[$PWD]'
history
USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`
if [ "$USER_IP" = "" ]
then
USER_IP=`hostname`
fi
if [ ! -d /tmp/history ]
then
mkdir /tmp/history
chmod 777 /tmp/history
fi
if [ ! -d /tmp/history/${LOGNAME} ]
then
mkdir /tmp/history/${LOGNAME}
chmod 300 /tmp/history/${LOGNAME}
fi
export HISTSIZE=4096
DT=`date +"%Y%m%d_%H%M%S"`
export HISTFILE="/tmp/history/${LOGNAME}/${USER_IP} history.$DT"
chmod 600 /tmp/history/${LOGNAME}/*history* 2>/dev/null

  

 

方法2：

Syslog監視Linux登錄用戶保障系統安全

管理登錄文件是網絡管理的重要一部分。每個Linux都具有Syslog的標準功能，它既能登錄本地文件，又能登錄遠程系統。如果你要在一臺被攻陷的機器上查看登錄文件，特別是在你不太確定攻擊者是否已清除登錄文件，銷燬登錄蹤跡的情況下，它的作用就尤其關鍵了。

安裝Syslog進行遠程登錄是及其容易的。你只需在你準備收到登錄記錄的系統上，使用－r選項，配置Syslog，這樣就可以讓你接收到遠程登錄的記錄。

比如，在Mandrake Linux系統上，編輯/etc/sysconfig/syslog文件，根據如下所列改變syslogD_OPTIONS的參數。

　

<ccid_nobr>

<ccid_code>　　　SyslogD_OPTIONS="-r -m 0"

　　

下一步，重新啓動Syslog服務。你也應該確保該機器上的防火牆允許從其它發送登錄記錄的機器訪問UDP端口514。在你要發送登錄記錄的系統上，修改/etc/syslog.conf文件，增加類似如下的內容到末尾；

 

<ccid_nobr>

<ccid_code>　　　　*.info @loGhost.mydomain.com　

　

這就表示Syslog發送所有 *.info等級的登錄記錄到loghost.mydomain.com的主頁。你能夠改變你想要進行遠程登錄的設施，但是*.info通常是充分的。在這臺機器上，也同樣重新啓動Syslog，確保防火牆允許從本地主機的UDP端口514上，發送到遠程機器。

一個主機上的登錄記錄應該此刻就出現在遠程主機上，同時包括該主機自己的登錄信息。比如，你的登錄文件是這樣的：

 

<ccid_nobr>

<ccid_code>　　　　Jan　8 13:23:22 loghost fam[3627]: connect: Connection refused　　　　Jan　8 13:23:24 remote.mydomain.com su(pam_Unix)[3166]: session closed for user root

　　

正如你從/var/log/messages片斷看到的一樣，Syslog登錄信息是與loghost(當地機器)和遠程mydomain.com（遠程主機）同樣的文件。這時，安裝登錄監督到登錄主機上，用來提醒你想要監督的任何特定的內容（比如失敗的登錄）。

 

附錄：

linux 限制用戶登錄

 

-

-

-

+

-

-

-