一,BIOS安全(硬件上的安全)
1,最基本最簡單的安全配置,保障計算機硬件配置等不被別人更改.給BIOS設置密碼,防止改變啓動順序從軟盤或
光盤啓動.防止特殊的啓動盤啓動用戶的系統,進入rescue或其他模式.改變或刪除當前配置等.每一個細心的網
管每個細節都不應該忽視!
2,禁止使用contral+alt+delete重起機器
編輯/etc/inittab文件,註釋掉下面一行.
ca::ctrlaltdel:/sbin/shutdown -t3 -r now
該成:(使用#)
ca::ctrlaltdel:/sbin/shutdown -t3 -r now
二,帳號安全
口令,系統的第一道防線,目前大多數數×××都是截獲口令或猜測口令等口令×××開始的.
/etc 目錄下主要存放系統的配置文件.我們要對這個目錄下的好多文件進行修改.
1,/etc/login.defs文件是login程序的配置文件.口令的長度和口令的有效期等可以在這裏設置.
[root@tp ~]# vi /etc/login.defs
...
PASS_MAX_DAYS 9999 密碼被用最多天數
PASS_MIN_DAYS 0 密碼被用最少天數
PASS_MIN_LEN 5 系統默認密碼長度5,我們可以該成8或更多.
PASS_WARN_AGE 7 密碼有效期警告,超過7天將提示用戶更換新的密碼.
...
2,/etc/profile文件是環境變量設置文件.在此文件設置環境變量將對所有用戶生效.我們要在此文件設置自動
註銷帳戶的時間.及命令的歷史記錄數.
[root@tp ~]# vi /etc/profile
...
HOSTNAME=/bin/hostname
HISTSIZE=1000 這裏1000代表用戶操作命令的歷史記錄.應儘量小一些.設置成0也可以,呵呵.
tmout=600 添加此行,如果系統用戶在600秒(10分鐘)內不做任何操作,將自動註銷這個用戶.
...
3,/etc/passwd文件存放系統用戶名,用戶標識(UID),組標識(GID)等的地方.我們要在這裏找到並清除沒有設置
口令的用戶.同時還要清除一些特別帳號(因爲可能會存在潛在的危險).
[root@tp ~]# vi /etc/passwd
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
...
wh::500:501::/home/wh:/bin/bash
仔細觀察上面的一行(wh用戶),在第二項,兩個冒號中間什麼都沒有,而上面的的用戶(如root用戶)都是x. 這表
明此用戶沒有密碼.要不添加上,要不刪掉.
4,特別帳號的處理
如果不啓動用sendmail,刪除如下用戶
[root@tp wh]# userdel adm
[root@tp wh]# userdel lp
[root@tp wh]# userdel sync
[root@tp wh]# userdel shudown
[root@tp wh]# userdel halt
[root@tp wh]# userdel mail
如果不用X windows服務器.可有刪除
[root@tp wh]# userdel news
[root@tp wh]# userdel uucp
[root@tp wh]# userdel operator
[root@tp wh]# userdel games
如果不允許匿名FTP帳號登陸,可刪除
[root@tp wh]# userdel gopher
[root@tp wh]# userdel ftp
三,重要文件的安全設置.
首先要了解兩個命令
1,chmod:改變文件的屬主
2,chattr:改變文件屬性
我們要做的是把重要文件的屬主改成root並給相應的權限,還有就是改變文件的屬性讓它禁止被修改
我們來統計一下重要文件:(其實,只要你不想讓其他用戶更改的文件都可以這麼做,我這裏只是爲安全而選擇了
下面的文件.)
1,/etc/passwd,passwd-,passwd.OLD,group,group- 用戶,組的ID等信息文件.
2,/etc/shadow,shadow-,gshadow,gshadow- 用戶,組密碼加密文件.
3,/etc/x.Netd.conf 網絡守護進程主配置文件
4,/etc/inittab 系統在啓動是會讀取這個文件裏的內容.
5,/etc/services 防止未經許可的刪除或添加服務
6,/etc/rc.d/rc.sysinit 系統啓動是需要讀取的文件,
7,/etc/rc.d/init.d/*
以一個文件爲例,其它都一樣
[root@tp etc]# chmod 700 passwd
[root@tp etc]# chattr +i passwd
當chattr +i時就是禁止對文件進行修改,當我們要添加用戶時,就會有麻煩,因爲passwd文件禁止修改寫入.所以
我們還要該掉它的屬性.chattr -i.
四,防止×××系統安全設置
1,限制用戶使用系統資源,主要包括資源最大進程數,內存使用量等.這樣可以防止DOS類型×××.
需要編輯文件
[root@tp /]# vi /etc/security/limits.conf
...
(這三行是添加的)
- hard core 0 禁止創建core文件
- hard rss 5000 其他用戶(除root)最多使用5M內存
- hard nproc 20 最多進程數限制在20
注:*表示所有登陸到Linux的用戶.End of file
[root@tp /]# vi /etc/pam.d/login
...
在文件末尾加入下面一行
session required /lib/security/pam_limits.so
2,限制控制檯的訪問
[root@tp /]# vi /etc/securetty
...
我們註釋掉
tty1tty2
tty3
tty4
tty5
tty6
只留下tty1,這時,root僅可在tty1終端登錄
3,禁止外來ping請求.
[root@tp /]# vi /etc/rc.d/rc.local
...
在最後加入一行
echo 1 > /proc/sys.Net/ipv4/icmp_echo_ignore_all
4,防止IP地址欺騙
[root@tp /]# vi /etc/host.conf
加入如下幾行
order bind,hosts
multi off
nospoof on
5,禁止su命令進入root(這一部我反覆測試總是不成功,group組裏的用戶依然不能su成root用戶.希望知道的朋
友告訴我,謝謝)
[root@tp pam.d]# vi /etc/pam.d/su
...
在下面加入如下兩行
auth sufficient /lib/security/pam_rootok.so debug
auth required /lib/security/pam_wheel.so group=xxx
這表示只有xxx組的用戶可以su成root.
6,使用TCP_WRAPPER
在默認情況下Linux系統允許所有請求,可用TCP_WRAPPER增強安全性,
在/etc/hosts.deny寫入"ALL:ALL"禁止所有請求
[root@tp etc]# vi /etc/hosts.deny
#
hosts.deny This file describes the names of the hosts which are
not allowed to use the local .Net services, as decided
by the '/usr/sbin/tcpd' server.
#
The portmap line is redundant, but it is left to remind you that
the new secure portmap uses hosts.deny and hosts.allow. In particular
you should know that NFS uses portmap!
"ALL:ALL"
把允許訪問的客戶,或服務添加到/etc/hosts.allow,冒號左邊爲服務,冒號右邊爲授權的機器
[root@tp etc]# vi /etc/hosts.allow
#
hosts.allow This file describes the names of the hosts which are
allowed to use the local .Net services, as decided
by the '/usr/sbin/tcpd' server.
#
vsftp:211.101.46.253 注:僅如許IP地址爲211.101.46.253的機器訪問FIP服務器
7.刪減登錄信息
[root@tp ~]# rm -f /etc/issue
[root@tp ~]# rm -f /etc/issue.Net
[root@tp ~]# touch /etc/issue
[root@tp ~]# touch /etc/issue.Net
五,確保開啓服務的安全性
我們先來看一下自己系統開啓了多少服務.
[root@tp ~]# ps -eaf | wc -l
55
我的是55
我們可以通過當前的進程裏在來看一下都是什麼服務
[root@tp ~]# ps -aux
Warning: bad syntax, perhaps a bogus '-'? See /usr/share/doc/procps-3.2.3/FAQ
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
root 1 0.0 0.2 2592 560 ? S 21:02 0:00 init [3]
root 2 0.0 0.0 0 0 ? SN 21:02 0:00 [ksoftirqd/0]
root 3 0.0 0.0 0 0 ? S< 21:02 0:00 [events/0]
root 4 0.0 0.0 0 0 ? S< 21:02 0:00 [khelper]
root 5 0.0 0.0 0 0 ? S< 21:02 0:00 [kacpid]
root 20 0.0 0.0 0 0 ? S< 21:02 0:00 [kblockd/0]
root 30 0.0 0.0 0 0 ? S 21:02 0:00 [pdflush]
root 31 0.0 0.0 0 0 ? S 21:02 0:00 [pdflush]
root 33 0.0 0.0 0 0 ? S< 21:02 0:00 [aio/0]
root 21 0.0 0.0 0 0 ? S 21:02 0:00 [khubd]
root 32 0.0 0.0 0 0 ? S 21:02 0:00 [kswapd0]
root 107 0.0 0.0 0 0 ? S 21:02 0:00 [kseriod]
root 181 0.0 0.0 0 0 ? S< 21:03 0:00 [kmirrord]
root 182 0.0 0.0 0 0 ? S< 21:03 0:00 [kmir_mon]
root 190 0.0 0.0 0 0 ? S 21:03 0:00 [kjournald]
root 1085 0.0 0.1 2604 444 ? S<s 21:03 0:00 udevd
root 1611 0.0 0.0 0 0 ? S< 21:03 0:00 [kauditd]
root 1745 0.0 0.0 0 0 ? S< 21:03 0:00 [kmpathd/0]
root 1769 0.0 0.0 0 0 ? S 21:03 0:00 [kjournald]
root 2250 0.0 0.2 2668 632 ? Ss 21:03 0:00 syslogd -m 0
root 2254 0.0 0.1 3352 472 ? Ss 21:03 0:00 klogd -x
rpc 2274 0.0 0.2 2220 572 ? Ss 21:03 0:00 portmap
rpcuser 2294 0.0 0.2 2108 756 ? Ss 21:03 0:00 rpc.statd
root 2322 0.0 0.3 5344 992 ? Ss 21:03 0:00 rpc.idmapd
root 2399 0.0 0.3 2612 816 ? S 21:03 0:00 /usr/sbin/smartd
root 2409 0.0 0.2 3176 540 ? Ss 21:03 0:00 /usr/sbin/acpid
root 2440 0.0 1.4 11192 3680 ? Ss 21:03 0:00 cupsd
root 2497 0.0 0.6 5044 1712 ? Ss 21:03 0:00 /usr/sbin/sshd
root 2526 0.0 0.3 2760 876 ? Ss 21:03 0:00 x.Netd -stayalive -pidfile
/var/run/x.Netd.pid
root 2536 0.0 0.2 1788 528 ? Ss 21:03 0:00 gpm -m /dev/input/mice -t imps2
htt 2565 0.0 0.1 1960 316 ? Ss 21:03 0:00 /usr/sbin/htt -retryonerror 0
htt 2566 0.0 1.1 8256 3024 ? S 21:03 0:00 htt_server -nodaemon
canna 2578 0.0 6.8 19932 17628 ? Ss 21:03 0:00 /usr/sbin/cannaserver -syslog -u
canna
root 2590 0.0 0.4 7428 1204 ? Ss 21:03 0:00 crond
xfs 2628 0.0 1.3 5692 3332 ? Ss 21:03 0:00 xfs -droppriv -daemon
root 2638 0.0 0.2 2092 640 ? SNs 21:03 0:00 anacron -s
root 2647 0.0 0.2 3712 740 ? Ss 21:03 0:00 /usr/sbin/atd
dbus 2657 0.0 0.5 13296 1324 ? Ssl 21:03 0:00 dbus-daemon-1 --system
root 2668 0.0 0.4 3156 1040 ? Ss 21:03 0:00 cups-config-daemon
root 2679 0.0 1.7 6540 4424 ? Ss 21:03 0:00 hald
root 2688 0.0 0.5 2916 1288 ? Ss 21:03 0:00 login -- root
root 2689 0.0 0.1 1528 404 tty2 Ss+ 21:03 0:00 /sbin/mingetty tty2
root 2690 0.0 0.1 2048 404 tty3 Ss+ 21:03 0:00 /sbin/mingetty tty3
root 2691 0.0 0.1 3488 404 tty4 Ss+ 21:03 0:00 /sbin/mingetty tty4
root 2692 0.0 0.1 2368 404 tty5 Ss+ 21:03 0:00 /sbin/mingetty tty5
root 2693 0.0 0.1 3296 404 tty6 Ss+ 21:03 0:00 /sbin/mingetty tty6
root 3136 0.0 0.5 5920 1396 tty1 Ss+ 21:05 0:00 -bash
root 3574 0.0 0.8 8400 2276 ? Ss 21:05 0:00 sshd: root@pts/0
root 3576 0.0 0.5 6896 1388 pts/0 Ss 21:05 0:00 -bash
root 3608 0.0 0.4 6584 1216 pts/0 S+ 21:05 0:00 ntsysv
root 4019 0.0 0.8 8408 2276 ? Rs 21:09 0:00 sshd: root@pts/1
root 4021 0.0 0.5 6912 1388 pts/1 Ss 21:09 0:00 -bash
root 4084 0.0 0.2 2852 748 pts/1 R+ 21:17 0:00 ps -aux
這些進程,服務,都是開機自動加載的!我們可以用命令來看一下,
[root@tp ~]# ntsysv
那些前面有*號的就是開機自動啓動的服務.也就是說我們開機的話就要同時開啓這麼多的服務.(和我們windows
裏的服務是一樣的,沒用的完全可以關了).
我們要掌握一個原則:就是運行的服務越少,肯定系統就越安全.
上面看的是系統開機都會開啓那些服務.那麼那些服務是正在運行的呢?
[root@tp ~]#.Netstat -an
Active Inte.Net connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 0.0.0.0:32768 0.0.0.0: LISTEN
tcp 0 0 0.0.0.0:111 0.0.0.0: LISTEN
tcp 0 0 0.0.0.0:113 0.0.0.0: LISTEN
tcp 0 0 127.0.0.1:631 0.0.0.0: LISTEN
tcp 0 0 :::80 ::: LISTEN
tcp 0 0 :::22 ::: LISTEN
tcp 0 0 :::443 ::: LISTEN
tcp 0 880 ::ffff:192.168.0.1:22 ::ffff:192.168.0.5:2683 ESTABLISHED
udp 0 0 0.0.0.0:32768 0.0.0.0:
udp 0 0 0.0.0.0:111 0.0.0.0:
udp 0 0 0.0.0.0:631 0.0.0.0:
udp 0 0 0.0.0.0:764 0.0.0.0:*
帶有LISTEN的代表正在開啓的端口,開啓的服務.
如果你對Linux系統的啓動過程瞭解的話.(建議先去看看,我以後也會寫的)
我們進入這個目錄
[root@tp ~]# cd /etc/rc.d
[root@tp rc.d]# ls
init.d rc rc0.d rc1.d rc2.d rc3.d rc4.d rc5.d rc6.d rc.local rc.sysinit
如果你的系統是X(圖形化啓動的話)運行級別是5,那就是rc5.d,我的是rc3.d,運行級別是3.(多用戶模式)
是哪個模式就進入哪個目錄,看一下
[root@tp rc.d]# cd rc3.d/
[root@tp rc3.d]# ls
K01yum K16rarpd K35cyrus-imapd K50snmptrapd K84bgpd K96ipmi
S13irqbalance S55sshdK0.NetworkManager K20bootparamd K35dhcpd K50tux K84ospf6d K99readahead
S13portmap S56rawdevicesK03rhnsd K2.Netdump-server K35smb K50vsftpd K84ospfd
K99readahead_early S14nfslock S56x.Netd
K05atd K20nfs K35vncserver K54dovecot K84ripd
S00microcode_ctl S15mdmonitor S85gpm
K05innd K20rstatd K35winbind K61ldap K84ripngd S01sysstat
S18rpcidmapd S87iiimK05saslauthd K20rusersd K36dhcp6s K65kadmin K85mdmpd S05kudzu
S19rpcgssd S90cannaK10dc_server K20rwhod K36lisa K65kprop K85zebra S06cpuspeed
S2.Netfs S90crondK10psacct K24irda K36mysqld K65krb524 K87auditd
S08arptables_jf S26apmd S95anacron
K10radiusd K25squid K36postgresql K65krb5kdc K87multipathd S08ip6tables
S26lm_sensors S97messagebusK10xfs K28amd K45arpwatch K73ypbind K88opensm S08iptables
S28autofs S98cups-config-daemonK12dc_client K30sendmail K45named K74nscd K89iscsi S09isdn
S40smartd S98haldaemonK12FreeWnn K30spamassassin K46radvd K74ntpd K8.Netplugd S09pcmcia
S44acpid S99localK12mailman K34dhcrelay K5.Netdump K74ypserv K90bluetooth S1.Network
S54hpojK15httpd K34yppasswdd K50snmpd K74ypxfrd K94diskdump S12syslog
S55cupsLinux在開機時會讀取/etc/rc.d/rcX.d(根據X的運行級別)
終止K開頭的服務.
開啓S開頭的服務.
我們通過ntsysv命令所做的更改都會在這裏體現出來.
好,現在應該到我們的重點了,就是要開啓那些服務,關閉那些服務.
我把每一個服務都代表什麼寫出來,大家自己根據自己的需要來決定.
amd:自動安裝NFS(網絡文件系統)守侯進程
apmd:高級電源管理
Arpwatch:記錄日誌並構建一個在LAN接口上看到的以太網地址和IP地址對數據庫
atd 運行用戶用At命令調度的任務。也在系統負荷比較低時 運行批處理任務。
Autofs:自動安裝管理進程automount,與NFS相關,依賴於NIS
Bootparamd:引導參數服務器,爲LAN上的無盤工作站提供引導所需的相關信息
crond:Linux下的計劃任務
Dhcpd:啓動一個DHCP(動態IP地址分配)服務器
Gated:網關路由守候進程,使用動態的OSPF路由選擇協議
gpm gpm爲文本模式下的Linux程序如mc(Midnight Commander)提供了
鼠標的支持。它也支持控制檯鼠標的拷貝,粘貼操作以及彈出式菜單。
Httpd:WEB服務器
.Netd:支持多種網絡服務的核心守候程序
Innd:Us.Net新聞服務器
keytable 該程序的功能是轉載您在/etc/sysconfig/keyboards裏說明的鍵盤
映射表,該表可以通過kbdconfig工具進行選 擇。您應該使該程序
處於激活狀態。
ldap LDAP代表Lightweight Directory Access Protocol, 實現了目錄
訪問協議的行業標準。
Linuxconf:允許使用本地WEB服務器作爲用戶接口來配置機器
Lpd:打印服務器
Mars-nwe:mars-nwe文件和用於Novell的打印服務器
mcserv Midnight Commander服務進程允許遠程機器上的用戶通過Midnight
Commander文件管理器操作本機文件。服務進程用PAM來驗證用戶,
需要給出“用戶名/口令”以通過驗證
named:DNS服務器
.Netfs:安裝NFS、Samba.NetWare網絡文件系統
.Network:激活已配置網絡接口的腳本程序
nfs:打開NFS服務
nscd:nscd(Name Switch Cache daemon)服務器,用於NIS的一個支持服務,它高速緩存用戶口令和組成成員關
系
Pcmcia pcmcia主要用於支持筆記本電腦。
portmap:RPC portmap管理器,與.Netd類似,它管理基於RPC服務的連接
postgresql:一種SQL數據庫服務器
random 保存和恢復系統的高質量隨機數生成器,這些隨機數是系統一些隨
機行爲提供的
routed:路由守候進程,使用動態RIP路由選擇協議
rstatd:一個爲LAN上的其它機器收集和提供系統信息的守候程序
ruserd:遠程用戶定位服務,這是一個基於RPC的服務,它提供關於當前記錄到LAN上一個機器日誌中的用戶信
息
rwalld:激活rpc.rwall服務進程,這是一項基於RPC的服務,允許用戶給每個註冊到LAN機器上的其他終端寫消
息
rwhod:激活rwhod服務進程,它支持LAN的rwho和ruptime服務
sendmail:郵件服務器sendmail
smb:Samba文件共享/打印服務
snmpd:本地簡單網絡管理候進程
squid:激活代理服務器squid
syslog:一個讓系統引導時起動syslog和klogd系統日誌守候進程的腳本
Webmin webmin是基於web的集系統管理與網絡管理於一身的強大管理工具。
利用webmin的強大功能,用戶可以通過web瀏覽器來方便地設置自
己的服務器、dns、samba、nfs、本地/遠程文件系統以及許多其他的
系統配置。
xfs:X Window字型服務器,爲本地和遠程X服務器提供字型集
xntpd:網絡時間服務器
ypbind:爲NIS(網絡信息系統)客戶機激活ypbind服務進程
yppasswdd:NIS口令服務器
ypserv:NIS主服務器
gpm:管鼠標的
identd:AUTH服務,在提供用戶信息方面與finger類似
可能還有不全的解釋,希望大家能補上.
六,日誌的安全.
我在這裏只講解日誌的安全問題,也就是通過日誌來查看那些可疑的用戶登陸過機器.不會詳細介紹日誌方面的
知識.(關於Linux日誌我認爲是很重要的東西,作爲一名系統維護人員,必須對Linux日誌有一定了解.我也會馬上
詳細寫這方面的文章.)
三個重要的日誌文件
/var/log/wtmp 記錄每個用戶登陸和推出時間的永久記錄.
/var/run/utmp 記錄當前登陸到系統的每個用戶信息.
/var/log/lastlog 每個用戶最後一次登陸的信息(最新的信息)
wtmp和utmp都是二進制文件,它們要用命令來查看內容.
1,命令who,查看utmp文件當前的每個用戶的信息,它默認輸出包括用戶名,終端類型,登陸時間及遠程主機.
如下:
[root@tp log]# who
root pts/0 May 4 22:10 (192.168.0.5)
如果指明瞭文件,則回顯示自wtmp創建以來所有登陸的用戶信息.
[root@tp log]# who /var/log/wtmp
root tty1 May 4 20:44
root pts/0 May 4 20:52 (211.101.46.195)
root tty1 May 4 21:05
root pts/0 May 4 21:05 (211.101.46.195)
root pts/1 May 4 21:09 (192.168.0.5)
root pts/0 May 4 21:38 (192.168.0.5)
root pts/0 May 4 22:10 (192.168.0.5)
2,命令w,查看utmp文件並顯示當前系統中每個用戶和它所運行的進程信息.
如:
[root@tp log]# w
23:00:48 up 54 min, 1 user, load average: 0.00, 0.00, 0.00
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
root pts/0 192.168.0.5 22:10 0.00s 0.03s 0.00s w
3,users,顯示當前當前登陸的用戶數量.
如,
[root@tp log]# users
root root
這表明兩個root用戶在同時登陸這臺機器.
4,last命令,用來顯示wtmp文件第一次 創建以來所有登陸過的用戶.
如:
[root@tp log]# last
root pts/1 192.168.0.5 Fri May 4 23:01 - 23:02 (00:00)
root pts/0 192.168.0.5 Fri May 4 22:10 still logged in
reboot system boot 2.6.9-34.EL Fri May 4 22:07 (00:59)
root pts/0 192.168.0.5 Fri May 4 21:38 - down (00:27)
reboot system boot 2.6.9-34.EL Fri May 4 21:36 (00:29)
root pts/1 192.168.0.5 Fri May 4 21:09 - down (00:25)
root pts/0 211.101.46.195 Fri May 4 21:05 - down (00:29)
root tty1 Fri May 4 21:05 - down (00:30)
reboot system boot 2.6.9-34.EL Fri May 4 21:03 (00:31)
root pts/0 211.101.46.195 Fri May 4 20:52 - crash (00:11)
root tty1 Fri May 4 20:44 - crash (00:18)
reboot system boot 2.6.9-34.EL Fri May 4 20:32 (01:02)
reboot system boot 2.6.9-34.EL Tue May 1 08:32 (3+13:02)
reboot system boot 2.6.9-34.EL Tue May 1 08:27 (3+13:07)
reboot system boot 2.6.9-34.EL Tue May 1 08:24 (3+13:10)
reboot system boot 2.6.9-34.EL Tue May 1 08:13 (3+13:22)
wtmp begins Tue May 1 08:13:04 2007
我們也可以指明用戶,[root@tp log]# last root
root pts/1 192.168.0.5 Fri May 4 23:01 - 23:02 (00:00)
root pts/0 192.168.0.5 Fri May 4 22:10 still logged in
root pts/0 192.168.0.5 Fri May 4 21:38 - down (00:27)
root pts/1 192.168.0.5 Fri May 4 21:09 - down (00:25)
root pts/0 211.101.46.195 Fri May 4 21:05 - down (00:29)
root tty1 Fri May 4 21:05 - down (00:30)
root pts/0 211.101.46.195 Fri May 4 20:52 - crash (00:11)
root tty1 Fri May 4 20:44 - crash (00:18)
wtmp begins Tue May 1 08:13:04 2007
5,命令ac,根據wtmp文件中每個用戶進入和退出時間.(以小時計算),不用參數代表全部
[root@tp log]# ac
total 2.88
[root@tp log]# ac -d 代表每天總連接時間
Today total 2.89
[root@tp log]# ac -p 代表每個用戶總連接時間
root 2.89
total 2.89
我們要養成經常查看日誌來觀察有無可疑用戶等問題的存在.