1.檢查系統密碼文件
ls -l /etc/passwd #查看passwd檔案的最後修改日期
參數-l use a long listing format #使用長列式表格,會列出檔案修改日期
或是可以
ll /etc/passwd
內容格式如下
-rw-r--r-- 1 root root 2413 Feb 7 11:17 /etc/passwd
2.檢查Gateway及監聽端口
netstat -an #列出本機所有的連接和監聽端口
netstat -rn #查看本機的路由,Gateway設置是否正確
3.檢查系統日誌(指令英文原義:show listing of last logged in users)
last |more
lastlog #可簡單的查看所有用戶最後一次登入時間
語法 last [-adRx][-f ][-n ][帳號名稱][hostname]
相關參數如下
-a 把從何處登錄系統的主機名度稱呼或IP地址,顯示在最後一行。
-d 將問IP地址轉換成主機名答稱。
-f <記錄文件>指定記錄文件。
-n <顯示列數內>或-<顯示列數>設置列表的顯示列數。
-R 不顯示登錄系統的主機名或IP地址。
-x 顯示系統關機,重新啟動容,以及執行等級的改變等信息。
內容格式如下
root pts/0 192.168.50.124 Wed May 6 10:52 still logged in
root pts/0 192.168.50.124 Tue May 5 14:41 - 17:58 (03:17)
root pts/0 192.168.50.124 Thu Apr 30 12:03 - 12:09 (00:06)
root pts/0 192.168.50.124 Wed Apr 29 16:56 - 17:45 (00:48)
reboot system boot 3.10.0-1127.el7. Wed Apr 29 16:49 - 11:13 (6+18:24)
root pts/0 192.168.50.124 Wed Apr 29 16:47 - down (00:01)
reboot system boot 3.10.0-1127.el7. Wed Apr 29 16:23 - 16:48 (00:25)
註: pts/ptmx(pts/ptmx結合使用,進而實現pty):
pts(pseudo-terminal slave)是pty的實現方法,與ptmx(pseudo-terminal master)配合使用實現pty
pty(虛擬終端):
4.檢查登入記錄
more /var/log/secure
cat /var/log/secure |grep 'password changed' #可查詢最後一次修改密碼時間
內容格式如下
May 5 14:41:42 localhost sshd[18321]: Accepted password for root from 192.168.50.124 port 64330 ssh2
May 5 14:41:42 localhost sshd[18321]: pam_unix(sshd:session): session opened for user root by (uid=0)
May 5 17:58:55 localhost sshd[18321]: error: Received disconnect from 192.168.50.124 port 64330:0:
May 5 17:58:55 localhost sshd[18321]: Disconnected from 192.168.50.124 port 64330
May 5 17:58:55 localhost sshd[18321]: pam_unix(sshd:session): session closed for user root
May 6 10:52:40 localhost sshd[16036]: Accepted password for root from 192.168.50.124 port 61472 ssh2
May 6 10:52:40 localhost sshd[16036]: pam_unix(sshd:session): session opened for user root by (uid=0)
沒有留言:
張貼留言