天道酬勤,学无止境

修改SSHD服务日志记录

1、修改SSH程序

[root@server01 ~]# vim  /etc/ssh/sshd_config 

将SyslogFacility AUTHPRIV改为SyslogFacility local5

2、修改日志程序

[root@server01 ~]#Vim /etc/syslog.conf

添加如下两行:

# save sshd messages also to sshd.log

local5.*  /data/log/sshd.log

3、重启sshd和syslog服务

然后你可以使用ssh来登录看看发现与sshd有关的信息都记录到了sshd.log中。不在是messages。

4、从server02尝试登陆server01

[root@server02 ~]# ssh server01

root@server01's password: 

Last login: Mon Aug 28 01:53:43 2017 from server02

[root@server01 ~]# exit

logout

Connection to server01 closed.

[root@server02 ~]# 

5、查看登陆日志

[root@server01 ~]# tail -f /data/log/sshd.log 

Aug 28 01:56:30 server01 sshd[52123]: Accepted password for root from 192.168.112.141 port 54508 ssh2

Aug 28 01:56:45 server01 sshd[52123]: Received disconnect from 192.168.112.141: 11: disconnected by user


标签

受限制的 HTML

  • 允许的HTML标签:<a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd> <h2 id> <h3 id> <h4 id> <h5 id> <h6 id>
  • 自动断行和分段。
  • 网页和电子邮件地址自动转换为链接。

相关推荐
  • 【Linux】日志管理及日志轮询
    文章目录1) 修改配置文件2) 重启rsyslog3) 强制切割1) 编辑rsyslog的配置文件2) 定义ssh服务的日志级别3) 启动rsyslog和sshd服务4)查看是否生成相关日志问题: mail , authpiv ,cron放在哪里日志的种类:日志级别: 重--轻日志服务:last 查看登录日志内容清空日志文件2. /var/log/lastlog 查看最后登录信息3. /var/log/btmp 用户登录系统的错误信息问题: 怎么查看一个文件的大小日志管理的意义常用的日志文件:日志的记录方式:配置文件:日志输入的规则:实战案例:日志切割(轮转)日志回滚原理:sshd日志回滚实战总结日志管理的意义日志对于安全来说,非常重要,他记录了系统每天发生的各种各样的事情,你可以通过他来检查错误发生的原因,或者受到***时***者留下的痕迹。日志主要的功能有:审计和监测。他还可以实时的监测系统状态,监测和追踪侵入者等等一般情况下我们的日志主要放在哪里? /var/log[root@centos7-xinsz08 ~]# ls /var/loganaconda httpd spooler-20200227 audit lastlog swtpm boot.log libvirt tallylog boot.log-20200211 maillog tuned常用的日志文件:btmp
  • 系统安全之SSH***的检测与响应
    gncao FreeBuf一、前言作为系列文章的第一篇https://www.freebuf.com/es/193557.html 介绍了***系统的整个环境和搭建方法,按照这篇文章应该是可以把整个环境搭建完毕的.。在这篇文章中还介绍到了课程大纲包含主机安全、web安全、后门/***等等,下面就让我们开始我们的实验课程。二、课程目标首先第一个课程是主机安全的ssh端口***&检测&响应课程。课程有几个目标如下所示:1. 熟练使用nmap类端口扫描工具2. 熟练使用hydra、msf等平台对ssh服务开展爆破行为3. 监测平台能够在第一时间检测到***行为并发出告警4. 能够在服务器上找到***痕迹包括***时间、***方式、是否成功、***源等有价值信息注:对于很多大佬来说这些都是小菜了,但是在一开始的时候我也是这么认为的(我不是大佬)直到在做后面环节的时候还是碰到了一些问题,同时也掌握了一些新的知识,相信大家都会在这个过程当中都能够有所收获。三、实验环境***主机ip:192.168.171.130(注:因为换了新电脑,物理主机没有***环境,所以新装了一个kali虚拟机作为***主机)受害者主机ip:192.168.171.121检测主机ip:192.168.171.120四、***思路1. 使用nmap等端口扫描工具探测目标服务器是否存在ssh服务1)在**
  • Linux系统安全防护加固
    常见端口及其漏洞 https://www.jianshu.com/p/d476e2a1af7e 应该设置帐号超时自动注销 以root身份执行: vi /etc/profile 增加 export TMOUT=600 检测方法: # cat /etc/profile | grep TMOUT 比较重要的几个日志: 登录失败记录:/var/log/btmp //lastb 最后一次登录:/var/log/lastlog //lastlog 登录成功记录: /var/log/wtmp //last 登录日志记录:/var/log/secure 目前登录用户信息:/var/run/utmp //w、who、users 日志分析技巧 A、/var/log/secure 1、定位有多少IP在爆破主机的root帐号: grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more 定位有哪些IP在爆破: grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]
  • linux应急响应总结
    CATALOG 前言应急响应思路1.利用自动化检测程序rookithunter进行检测第一步:下载与安装rookithunter第二步:更新rkhunter第三步:使用rkhunter 2. 检查网络3. 查看异常进程4.查看登陆情况5.查看历史操作6.查看被修改的文件7.检查有可能的提权点8.检查web应用方面(后门木马等)9. 账号相关1.1 查看空口令和root权限账号,确认是否存在异常账号:1.2 加固空口令账号:1.3 添加口令策略1.4 限制用户su1.5 禁止root用户直接登录 10. 服务相关2.1 关闭不必要的服务2.2 SSH服务安全 11. 文件系统加固12. 日志相关4.1 syslogd日志4.2 记录所有用户的登录和操作日志 对于非传统攻击(例如APT攻击的)的应急处置 前言 分为几个部分来记录一下linux应急响应的一些操作与思路。 应急响应思路 1.利用自动化检测程序rookithunter进行检测 rookithunter可以自动化检查主机上可能存在的rookit木马文件,与被篡改的命令等,找到被篡改的命令后可以选择删除命令,然后重新安装命令。 参考: 后门和漏洞在Linux中使用“Rootkit Hunter rootkit后门检查工具RKHunter 第一步:下载与安装rookithunter 1.通用操作 wget https:/
  • linux 入侵检测
    最近遇到了很多服务器被入侵的例子,为了方便日后入侵检测以及排查取证,我查询了一些linux服务器入侵取证的相关资料,并在此总结分享,以便日后查询。   一般服务器被入侵的迹象,包括但不局限于:由内向外发送大量数据包(DDOS肉鸡)、服务器资源被耗尽(挖矿程序)、不正常的端口连接(反向shell等)、服务器日志被恶意删除等。那么既然是入侵检测,首先要判断的是服务器是否被入侵,必须排除是管理员操作不当导致的问题,因此入侵检测的第一项工作就是询问管理员服务器的异常现象,这对之后入侵类型的判断非常重要。   在询问了相关异常信息,排除了管理员操作失误等原因后,那么便可以开始正式的上服务器进行入侵检测以及取证操作了。 审计命令 Linux 日志系统 日志对于安全来说,非常重要,他记录了系统每天发生的各种各样的事情,你可以通过它来检查错误发生的原因,或者受到攻击时攻击者留下的痕迹。日志主要的功能有:审计和监测。他还可以实时的监测系统状态,监测和追踪侵入者等等。 在Linux系统中,有三个主要的日志子系统: 连接时间日志--由多个程序执行,把纪录写入到/var/log/wtmp和/var/run/utmp,login等程序更新wtmp和 utmp文件,使系统管理员能够跟踪谁在何时登录到系统。进程统计--由系统内核执行,当一个进程终止时,为每个进程往进程统计文件(pacct或acct)中写一个纪录
  • 部署audit监控文件
    1.案例1:部署audit监控文件2.案例2:加固常见服务的安全3.案例3:使用diff和patch工具打补丁1 案例1:部署audit监控文件1.1 问题本案例要求熟悉audit审计工具的基本使用,完成以下任务操作:1.使用audit监控/etc/ssh/sshd_config2.当该文件发生任何变化即记录日志3.通过手动和ausearch工具查看日志内容1.2 方案审计的目的是基于事先配置的规则生成日志,记录可能发生在系统上的事件(正常或非正常行为的事件),审计不会为系统提供额外的安全保护,但她会发现并记录违反安全策略的人及其对应的行为。审计能够记录的日志内容:a) 日期与事件以及事件的结果b) 触发事件的用户c) 所有认证机制的使用都可以被记录,如ssh等d) 对关键数据文件的修改行为等都可以被记录1.3 步骤实现此案例需要按照如下步骤进行。红帽6版本的步骤一:配置audit审计系统1)安装软件包,查看配置文件(确定审计日志的位置)1.[root@svr5 ~]# yum -y install audit //安装软件包2.[root@svr5 ~]# cat /etc/audit/auditd.conf //查看配置文件,确定日志位置3.log_file = /var/log/audit/audit.log //日志文件路径4.[root@svr5 ~]#
  • audit系统审计
    作者:行走的皮卡丘 日期:2020 文章目录 概述什么是审计审计的案例 audit审计系统安装软件包,查看配置文件(确定审计日志的位置)配置审计规则 查看并分析日志手动查看日志通过工具搜索日志 概述 什么是审计 基于事先配置的规则,记录可能发生在系统上的事件审计不会为系统提供额外的安全保护,但她会发现并记录违反安全策略的人及其对应的行为审计能够记录的日志内容 日期与事件、事件结果触发事件的用户所有认证机制的使用都可以被记录,如ssh等对关键数据文件的修改行为等 审计的案例 监控文件访问监控系统调用记录用户运行的命令监控网络访问行文 script 命令 https://blog.csdn.net/ouyang_peng/article/details/78818492 audit审计系统 audit子系统提供了一种纪录系统安全方面信息的方法,同时可以为系统管理员在用户违反系统安全法则或存在违反的潜在可能时,提供及时的警告信息,这些audit子系统所搜集的信息包括:可被审计的事件名称,事件状态(成功或失败),别的安全相关的信息。 AIX定义了一些可被审计的事件,可以在/etc/security/audit/events中找到,通常,这些事件都是定义在系统调用级别的。那么,一条命令可以产生多个事件,例如,如果用户通过cat或more命令来显示文件,可以在审计报告中发现下列事件: FILE
  • linux日志分析场景(二)
    引言第一期我们梳理了linux日志中5类常见的安全威胁场景:Linux的iptables被关闭、权限重置、用户的增加/删除/更改的行为审计、指定目录创建/删除/修改文件、linux用户su至root多次失败。本期我们继续梳理linux用户组/密码重置、账户提权、SSH跳板登录、账号短时间内创建删除、删除/修改/移动审计日志、主机开启大量监听端口这6类安全威胁场景,通过日志分析如何有效检测,降低安全威胁隐患。一、安全威胁如何检测1. Linux用户组/密码重置告警发生场景:每一个用户都由一个唯一的身份来标识,这个标识叫做用户ID。系统中的每一个用户也至少需要属于一个"用户分组"。同样,用户分组也是由一个唯一的身份来标识的,该标识叫做用户分组ID(GID)。每位用户的权限可以被定义为普遍用户或者根用户,普通用户只能访问其拥有的或者有权限执行的文件。根用户能够访问系统全部的文件和程序,根用户通常也被称为"超级用户",其权限是系统中最大的,可以执行任何操作。如果非正常授权修改linux用户组或密码,则可能被***者修改并控制,后续可能产生敏感文件访问等高风险事件。***方式:***者修改/etc/group、/etc/passwd。检测思路:可以通过人工查看原始的系统日志进行分析,或者通过日志审计工具解析原始日志,分析出有修改/etc/group、/etc/passwd的行为
  • 利用denyhosts轻松实现,sshd和ftp暴力密码破解防御
    最近浏览了一下linux服务器日志,发现有大量的root密码暴力破解记录,于是决定采取策略进行防护,避免因密码被破解,而导致一些不应该发生的问题。准备使用denyhosts软件。 DenyHosts是Python语言写的一个程序,它会分析sshd的日志文件(/var/log/secure),当发现重 复的***时就会记录IP到/etc/hosts.deny文件,从而达到自动屏IP的功能。 下面进入主题。 1。安装脚本 要求安装服务器能上网,并建立 /workspace目录 #############################1################################## #!/bin/bash wget http://sourceforge.net/projects/denyhosts/files/denyhosts/2.6/DenyHosts-2.6.tar.gz #下载软件 tar -zxvf DenyHosts-2.6.tar.gz #解压 mv DenyHosts-2.6 denyhost #为了方便改个名 cd denyhost/ #进入目录 yum install python -y #安装python python setup.py install #安装denyhost,脚本 cd /usr/share/denyhosts/
  • 六面防护:教你如何打造一套深度防御体系
    导读由于篇幅所限,遂将此文分为上下两篇,上篇侧重讲原理,下篇会结合原理讲述若干实际案例。概述从 Google 的 BeyondCorp 计划说起。Google 的这项行动计划名为 BeyondCorp ,目的是为了彻底打破内外网之别。其基本假设是——内部网络实际上跟互联网一样危险,原因有两点:一旦内网边界被突破,***者就很容易访问到企业内部应用。现在的企业越来越多采用移动和云技术,边界保护变得越来越难。所以干脆一视同仁,不外区分内外网,用一致的手段去对待。本文不深入阐述 Google 的这个方案是如何做的,从这个案例只想说明一个问题,随着信息安全漏洞层出不穷,而且利用手法也日益精妙,内部网络也会面临极大的风险(除非是完全物理隔离的内网)。所以需要同时关注内部网络和边界网络的安全。一、原理篇有段时间经常看中央一套的《今日说法》,其中有一个案件寻找破案线索的过程令我印象非常深刻。当时大概的案情是在一段没有监控的路上,有个女的被绑架了,这个时候寻找绑架作案的车辆就非常重要。由于事发路段没有监控,寻找作案车辆就陷入了困难,后面公安干警想出了一个非常简单的办法找到了作案的车辆。在绑架的现场是没有监控的,但在路的两头是有监控的,干警用给每辆车计时的方法来查找作案的车辆。如果要作案,必须要有作案的时间,也就是说这辆车的通过时间要比其他车辆时间要长。这就是最简单的逻辑推理破案。同理
  • Linux入侵痕迹清理
    Linux入侵痕迹清理 环境:Centos7、Kali虚拟机等 清除登陆系统成功的记录 [root@localhost root]# echo > /var/log/wtmp //此文件默认打开时乱码,可查到ip等信息 [root@localhost root]# last //此时即查不到用户登录信息 清除之前能看到之前其他机器的登录信息 清除登陆系统失败的记录 [root@localhost root]# echo > /var/log/btmp //此文件默认打开时乱码,可查到登陆失败信息 [root@localhost root]# lastb //查不到登陆失败信息 清除历史执行命令 [root@localhost root]# history -c //清空历史执行命令 修改/etc/profile,把HISTSIZE改为想记录的条数 [root@localhost root]# echo > ./.bash_history //或清空用户目录下的这个文件即可 导入空历史记录 [root@localhost root]# vi /root/history //新建记录文件 [root@localhost root]# history -c //清除记录 [root@localhost root]# history -r /root/history.txt //导入记录
  • Linux入侵痕迹清理
    Linux入侵痕迹清理 环境:Centos7、Kali虚拟机等 清除登陆系统成功的记录 [root@localhost root]# echo > /var/log/wtmp //此文件默认打开时乱码,可查到ip等信息 [root@localhost root]# last //此时即查不到用户登录信息 清除之前能看到之前其他机器的登录信息 清除登陆系统失败的记录 [root@localhost root]# echo > /var/log/btmp //此文件默认打开时乱码,可查到登陆失败信息 [root@localhost root]# lastb //查不到登陆失败信息 清除历史执行命令 [root@localhost root]# history -c //清空历史执行命令 修改/etc/profile,把HISTSIZE改为想记录的条数 [root@localhost root]# echo > ./.bash_history //或清空用户目录下的这个文件即可 导入空历史记录 [root@localhost root]# vi /root/history //新建记录文件 [root@localhost root]# history -c //清除记录 [root@localhost root]# history -r /root/history.txt //导入记录
  • 记录ssh登录账号密码
    https://www.jianshu.com/p/4fb1ea071177 因为公司一个测试需要查看ssh登陆请求的账号和密码,正好想到自己的服务器也可以通过这种方法来收集暴力破解的的账号和密码,参考了网上一些文章,综合一些步骤,记之。 1.环境准备 #去官网下载源码包 wget https://mirror.leaseweb.com/pub/OpenBSD/OpenSSH/portable/openssh-7.5p1.tar.gz #创建配置文件目录 mkdir -p /opt/ssh7.5p1/conf #解压源码包 tar -zxvf openssh-7.5p1.tar.gz #安装依赖环境,注意centos和ubuntu包名有所不同 #centos yum install gcc zlib-devel openssl-devel -y #ubuntu apt-get install gcc zlib1g-dev libssl-dev -y 2.代码修改 #修改源码 vim auth-passwd.c #找到函数auth_password,添加 logit("username: %s password: %s", authctxt->user, password); 3.编译安装 #编译 ./configure --sysconfdir=/opt/ssh7.5p1/conf
  • 深入理解Linux文件系统与日志分析(恢复误删除的文件,分析各类日志文件)
    文章目录 前言一、inode与block1.1inode和block的概述1.2inode的内容1.2.1inode包含文件的元信息1.2.2Linux系统文件三个主要的时间属性1.2.3目录文件的结构1.2.4inode的号码1.2.5文件存储小结1.2.6inode的大小1.2.7inode的特殊作用1.2.8软件更新 二、硬链接与软链接2.1硬链接2.2软链接 三、恢复误删除的文件3.1:EXT类型文件恢复3.2:xfs类型文件恢复 四、分析日志文件4.1日志的功能4.2日志文件的分类4.3日志文件分析4.3.1内核及系统日志4.3.2用户日志4.3.3程序日志 前言 在处理 Linux 系统出现的各种故障时,故障的症状是最易发现的,而导致这一故障的原因才是最终排除故障的关键。熟悉Linux 系统中常见的日志文件,了解一般故障的分析与解 决办法,将有助于管理员快速定位故障点、“对症下药”、并及时解决各种系统问题。另外, Linux 系统中通过分区、格式化来创建文件系统,而文件系统的运行又与 block 和 inode有关。 一、inode与block 崭新的操作系统的文件除了实际内容外,通常含有非常多的属性,例如Linux操作系统的文件权限(rwx)与文件属性(所有者,群组,时间参数等),文件系统通常会将这两部分分别存放在inode和block中 文件是存储在硬盘上的
  • Ubuntu系统ssh无法登陆问题
    Ubuntu系统ssh无法登陆问题 从网络上查找了好长时间,总结了一下处理步骤,记录如下: 1、在linux服务器上查看ssh端口 22 是否在监听 netstat -ntlp|grep 22 / lsof -i:22; 也可以在ssh配置文件/etc/ssh/sshd_config 里面确认ssh的服务端口是不是22; 2、如果没有启动监听,查看ssh服务是否启动 ps -ef|grep ssh; 3、如果没有启动,执行命令 sudo /etc/init.d/ssh start/restart启动ssh; 4、如果没有ssh服务,需要安装ssh服务,执行命令 sudo apt-get install openssh-server 5、如果ssh已经启动了,端口也监听了,正常情况下应该就可以登录了; 6、可以在linux机器上使用ssh IP命令登录一下,看能否登录,如果在本地可以登录,在另外一个机器上不能登录,那就是网络的问题,需要检查网络问题,或者机器上是否配置了防火墙、访问策略等; 7、如果在本地使用root用户也不能登录,需要修改配置文件vi /etc/ssh/sshd_config(建议修改前备份该文件),把 PermitRootLogin without-password 行前面加上#号,新增一行 PermitRootLogin yes; 8、如果还不能登录,报错
  • 介绍linux下利用编译bash设置root账号共用的权限审计设置
    在日常运维工作中,公司不同人员(一般是运维人员)共用root账号登录linux服务器进行维护管理,在不健全的账户权限审计制度下,一旦出现问题,就很难找出源头,甚是麻烦!在此,介绍下利用编译bash使不同人员在使用root账号登陆服务器后,能记录各自的操作,并且可以结合ELK日志分析系统收集登陆操作日志。废话不多说!下面分享下操作记录:服务器ip:192.168.1.180首先是编译bash[root@dev ~]# cd /usr/local/src/[root@dev src]# wget http://ftp.gnu.org/gnu/bash/bash-4.1.tar.gz[root@dev src]# tar -zvxf bash-4.1.tar.gz先修改下config-top.h文件,大概91行、104行,由于c 语言中注释是/* */ ,所以不要删除错了!删除下面第91和104行内容前后的/* */注释符!确保修改如下:[root@dev bash-4.1]# vim config-top.h......91 #define SSH_SOURCE_BASHRC......104 #define SYSLOG_HISTORY修改下bashhist.c 文件,让终端上的命令记录到系统messages 中,并且以指定的格式。并传入获得的变量。确保下面的内容修改后如下:
  • 初识systemd-使用篇
    Linux操作系统的开机过程是这样的,即从BIOS开始,然后进入Boot Loader,再加载系统内核,然后内核进行初始化,最后启动初始化进程。初始化进程作为Linux系统的第一个进程,它需要完成Linux系统中相关的初始化工作,为用户提供合适的工作环境。RHEL 7、CentOS7等linux发行版系统已经替换掉了熟悉的初始化进程服务System V init,正式采用全新的systemd初始化进程服务。systemd初始化进程服务采用了并发启动机制,开机速度得到了不小的提升。 一、systemd概述 systemd即为system daemon,是linux下的一种init软件,由Lennart Poettering带头开发,并在LGPL 2.1及其后续版本许可证下开源发布,开发目标是提供更优秀的框架以表示系统服务间的依赖关系,并依此实现系统初始化时服务的并行启动,同时达到降低Shell的系统开销的效果,最终代替现在常用的System V与BSD风格init程序。systemd是一个专用于 Linux 操作系统的系统与服务管理器。当作为启动进程(PID=1)运行时,它将作为初始化系统运行,也就是启动并维护各种用户空间的服务。 为了与传统的 SysV 兼容,如果将 systemd 以 init 名称启动,并且"PID≠1",那么它将执行 telinit
  • linux服务器不得不注意的安全问题--ssh暴力破解--denyhosts解决
    最近一直关注Linux服务器的的/var/log/secure文件,发现里面有大量的ssh失败尝试记录,如下 查看了该IP的尝试次数和时间,一直从凌晨4点到下午1点 多达9288次的扫描,从图中可以看出正在尝试各种用户名来连接,真他妈的没事干,也不知道用什么破软件在那里无聊,幸好我的密码也够复杂,要不然嘿嘿.......... 我服务器上的secure有多个,按时间进行截取的,我对其中的secure.1文件进行统计。 获取其中的ip地址和数量: # grep -o '[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}' /var/log/secure.1 | sort | uniq -c 如此之多,让我不禁冒出冷汗,真吓人,也不知道我的服务器上面有什么好东西,那么喜欢,真二!!!!当然如果是自己通过ssh成功连接,记录也会在这里面。 为了防止此类无聊之人再次光临,就得想办法不让他们进行扫描,本人在网上查找资料,得知Denyhosts软件可以达到该效果,DenyHosts是Python语言写的一个程序,它会分析sshd的日志文件(/var/log/secure),当发现重复的***时就会记录IP到/etc/hosts.deny文件,从而达到自动屏IP的功能。如果是手动添加的话不把人累死才怪。 DenyHosts官方网站为
  • 针对服务器ssh爆破的处理办法
    在CentOS7 的/etc目录下有hosts.deny文件,在文件中按照相应的格式添加数据可以禁止相应的IP使用不同的协议进行服务器的连接 比如,禁止ssh爆破就可以使用ssh:all:deny来防范,限定条件deny可加可不加,但是在使用deny all的时候要注意在同目录的hosts.allow文件中添加允许访问的ip地址 例如ssh:1.2.3.4:allow。但是在实际测试的过程中发现,使用deny all可能会导致在hosts.allow 文件中的IP也无法访问远程服务器,暂时还不知道是什么原因,有可能是deny的优先级比allow的要高,也有可能单纯是代码写错了。 此时简单的方法是使用 cat /var/log/secure |grep Failed|grep invalid\ user命令 ,查找使用不同用户名对本机进行爆破的不同IP地址,然后手动添加到hosts.deny文件中。 此外,也可以使用sh脚本文件将/var/log/secure中密码输入超过一个指定次数的IP添加到黑名单文件中,然后将原来hosts.deny文件输出到/dev/null中,然后将符合条件的黑名单IP以"sshd:$IP:deny"的格式输出到hosts.deny文件中,即可实现对ssh爆破的防范 但是这种防范和使用deny all有很大的不同,在达到阈值之前
  • Linux系统学习系列——Linux系统日志管 理(上)
    Linux系统学习系列——Linux系统日志管 理(上) 1. Linux rsyslogd服务及启动方法(详解版) 在 CentOS 6.x 中,日志服务已经由 rsyslogd 取代了原先的 syslogd。Red Hat 公司认为 syslogd 已经不能满足工作中的需求,rsyslogd 相比 syslogd 具有一些新的特点: ● 基于TCP网络协议传输日志信息。 ● 更安全的网络传输方式。 ● 有日志信息的即时分析框架。 ● 后台数据库。 ● 在配置文件中可以写简单的逻辑判断。 ● 与syslog配置文件相兼容。 rsyslogd 日志服务更加先进,功能更多。但是,不论是该服务的使用,还是日志文件的格式,其实都是和 syslogd 服务相兼容的,所以学习起来基本和 syslogd 服务一致。 我们如何知道 Linux 中的 rsyslogd 服务是否启动了呢?如何查询 rsyslogd 服务的自启动状态呢?命令如下: [root@localhost ~]# ps aux | grep "rsyslog" | grep -v "grep" root 1139 0.0 0.2 35948 1500 ? Sl 09:40 0:00 /sbin/rsyslogd -i/var/run/syslogd.pid -c 5 #有rsyslogd服务的进程,所以这个服务已经启动了