ssh登录日志,ssh登录记录,最近ssh登录

linux登录日志  /var/log/secure    (root用户可以删除该文件)

日志对于安全非常重要,记录了系统每天发生的各种事情,通过日志检查错误发生的原因,或者攻击后留下的痕迹。所有日志记录的信息都包含时间戳。

日志功能主要有:审计和检测。可以实时检测系统状态,检测和追踪入侵者。

linux系统中,三个主要的日志子系统:

连接时间日志---由多个程序执行,把把记录写到/var/log/wtmp和/var/log/utmp,login等程序更新wtmp和utmp文件,使系统管理员能够追踪到谁在何时登录系统

进程统计--由系统内核执行。当一个进程终止时,为每个进程往进程统计文件(pacct和acct)中写入一个记录。进程统计的目的是为系统中的基本服务提供命令使用统计。

错误日志--由syslogd(8)执行。各种系统守护进程、用户程序和内核通过syslog(3)向文件/var/log/messages报告值得注意的事件。另外有许多UNIX程序创建日志,像HTTP和FTP这样提供网路服务的服务的服务器也保持详细的日志。

常用的日志文件如下:

access-log    记录HTTP/web的传输

xferlog       几路FTP会话

acct/pacct    记录用户命令

messages      从syslog中记录信息(有的链接到syslog文件)

aculog        记录MODEM的活动

sudolog       记录sudo发出的命令

sulog         记录su命令的使用,记录在/var/log/secure中

syslog        从syslog中记录信息(通常链接到messages文件)

lastlog       记录最近几次成功登录的事件和最后一次不成功的登录

utmp          记录当前登录的每个用户

wtmp          一个用户每次登录进入和退出时间的永久记录,包括数据交换、关机重启信息

btmp          记录失败的记录

utmp、wtmp和lastlog入职文件是多数重用UNIX日志子系统的关键--保持用户登录和退出的记录。

wtmp文件可以无限增长,除非定期截取,通常在大量用户的系统中增长十分迅速。许多系统以一天或者一周为单位对wtmp配置成循环使用。通常由cron运行的脚本来修改,重新命名wtmp文件(加时间后缀名),从而可以循环使用wtmp文件。

每次有一个用户登录时,login程序在lastlog文件中查看用户的UID。如果找到,则把用户上次登录、退出时间和主机名写到标准输出中,然后login程序在lastlog中记录新的登录时间。在新的lastlog记录写入后,utmp文件打开并插入用户utmp记录。该记录一直用到用户登录退出时删除。utmp文件被各种命令文件使用,包括who/w/users/finger。

另外login程序打开wtmp文件,将utmp记录追加到wtmp文件中,当用户退出时,具有跟新时间戳的同一utmp记录追加到wtmp文件中。wtmp文件被last/ac使用。

具体命令:

wtmp和utmp文件都是二进制文件,他们不能被诸如tail命令剪贴合并甚至打开。用户需要使用who/w/users/last/ac命令来调用信息。

who:    查询utmp文件并报告当前登录的每个用户信息。who的标准输出格式包括:用户名、终端类型、登录日期和远程主机ip。who /var/log/wtmp 则会把自从wtmp文件创建或删改以来的每次登录(和last作用类似,很少使用)。

[[email protected] log]# who

transfor pts/0        2015-09-24 06:45 (122.10.70.66)

transfor pts/1        2015-09-25 01:01 (122.10.70.66)

transfor pts/2        2015-09-25 02:24 (122.10.70.66)

w:      查询utmp文件并显示当前系统中每个用户和它所运行的进程信息。例如:

[[email protected] log]# w

06:15:32 up 13 days,  7:10,  4 users,  load average: 0.57, 0.47, 0.43

USER     TTY        [email protected]   IDLE   JCPU   PCPU WHAT

transfor pts/0     Thu06   23:45m  0.54s  0.11s sshd: transfor [priv]

users:   用单独的一行打印出当前登录用户,每个显示的用户名对应一个登录会话。如果一个用户有不止一个的登录会话,那显示那个用户名相同的次数。

[[email protected] log]# users

transfor transfor transfor transfor

last:    往回搜索wtmp来显示自从文件第一次创建以来登录过的用户。

[[email protected] log]# last

transfor pts/3        122.10.70.66     Fri Sep 25 09:41   still logged in

transfor pts/3        122.10.70.66     Fri Sep 25 09:19 - 09:28  (00:08)

transfor pts/3        122.10.70.66     Fri Sep 25 02:56 - 03:34  (00:38)

transfor pts/2        122.10.70.66     Fri Sep 25 02:24   still logged in

transfor pts/1        122.10.70.66     Fri Sep 25 01:01   still logged in

transfor pts/1        122.10.70.66     Thu Sep 24 06:56 - 23:06  (16:09)

transfor pts/0        122.10.70.66     Thu Sep 24 06:45   still logged in

transfor pts/0        122.10.70.66     Wed Sep 23 03:52 - 21:35  (17:42)

transfor pts/0        122.10.70.66     Sat Sep 19 02:32 - 06:20  (03:47)

transfor pts/2        122.10.70.66     Thu Sep 17 05:48 - 22:55 (1+17:06)

transfor pts/1        122.10.70.66     Thu Sep 17 05:25 - 22:55 (1+17:29)

linux查看相应日志:

#less /var/log/secure

#less /var/log/messages

时间: 2024-08-26 14:30:24

ssh登录日志,ssh登录记录,最近ssh登录的相关文章

有关在数据库中的 记录用户的登录状态

当用户登录的时候,判断该用户是否等录了.用于处理 不让同一个账号在不同的时间,不同的IP上 进行重复登录 所进行的操作! 每当用户登录的时候,就记录用户的登录日志(用户的ID,登录时间,退出时间,IP)等. 当你进行登录的时候,用户的登录状态为1,退出的时候 用户的登录状态为0, 当用户进行正常的登录.退出的时候,没有问题,用户登录日志也填上了. 但是要是用户非正常的退出呢? 那么用户登录的时候,这时数据库中 用户的登录状态 仍为1 ,那么用户就没有办法登录了. 故 我搜索了几天的数据,终于找到

ssh密钥登录,所选的用户密钥未在远程主机上注册;ssh登录日志,成功登录,失败登录

出现该报错原因 .ssh目录权限问题 .ssh/路径下文件权限错误 客户端使用密钥错误,检测密钥是否正确 检查.ssh目录权限,一定700 ll .ssh drwx------   2 root root  4096 1月  15 16:34 .ssh 检测.ssh/路径下文件权限,id_rsz.pub和authorized_keys权限644,或者600(PS:.ssh/路径下可以只有authorized_keys文件,客户端拿服务器私钥即可登录) ll .ssh/ -rw-r--r-- 1

linux下怎么查看ssh的用户登录日志

linux下登录日志在下面的目录里: cd /var/log 查看ssh用户的登录日志: less secure linux日志管理: 1. 日志简介 日志对于安全来说,非常重要,他记录了系统每天发生的各种各样的事情,你可以通过他来检查错误发生的原因,或者受到攻击时攻击者留下的痕迹.日志主要的功能有:审计和监测.他还可以实时的监测系统状态,监测和追踪侵入者等等. 在Linux系统中,有三个主要的日志子系统: 连接时间日志--由多个程序执行,把纪录写入到/var/log/wtmp和/var/run

Linux入侵分析(二)分析SSH登录日志

SSH登录情况分析 1.wtmp日志 last last -x -F 2.查看在线用户情况 (1)w 命令用于显示已经登陆系统的用户列表,并显示用户正在执行的指令.单独执行w命令会显示所有的用户,您也可指定用户名称,仅显示某位用户的相关信息. (2)who am i 显示你的出口IP地址,该地址用于SSH连接的源IP who am i root pts/0 2018-03-29 04:12 (111.204.243.8) 3.SSH登录日志分析 cat /var/log/secure |more

Linux服务器限制ssh登录,查看登录日志

网络上的服务器很容易受到攻击,最惨的就是被人登录并拿到root权限.有几个简单的防御措施: 1. 修改ssh服务的默认端口 ssh服务的默认端口是22,一般的恶意用户也往往扫描或尝试连接22端口.所以第一步就是修改这个默认端口 打开/etc/ssh/sshd_config,找到 Port 22 然后将22修改为其它没有被占用的端口,如1022.最好在1-1024之间,防止与用户进程端口冲突. 然后重启sshd即可 sudo /etc/init.d/ssh restart 2. 限制IP 首先修改

SSH登录日志分析脚本(Python)

好久没有更新博客了,写了很早的一个脚本存下档,一个用于分析用户登录日志 /etc/auth.log的脚本,可以分析 成功.失败次数,以及来自的IP地址和登录失败的用户名,可以用于监控是否有暴力攻击,多了就可以用于收集字典,用来避免密码过于简单的问题 #/usr/bin/env python3.4 #Anyalize the /etc/auth.log files to get # 1) how many failed login trials # 2) how many succeeded lo

远地利用ssh进行端口转发,传输数据和远程登录

博客地址:http://loopholes.blog.51cto.com/9445813/16203672015-03-17 "本试验需要下载花生壳,不要问我花生壳是什么,下载点这里" 如何让在家里面连入到公司的电脑,对于这个问题,就是我作试验的起因了: 1.如果只是让用户登录,你只需要安装SSH的服务端(server),如果你还需要远程对方,你需要下载SSH的客户端(clients) yum install -y openssh ==>会自动把openssh-server(服务

ubuntu开启SSH服务,并允许ROOT权限远程登录。

服务器配完ubuntu系统以及LNMP环境以后,想用WINSCP远程登录,就需要开启SSH服务才能支持. SSH服务分为客户端和服务器.顾名思义,我想用WINSCP远程登录Ubuntu服务器,所以需要安装SSH server. OK,下面介绍如何开启SSH服务. 一.检查是否开启SSH服务 因为Ubuntu默认是不安装SSH服务的,所以在安装之前可以查看目前系统是否安装,通过以下命令: ps -e|grep ssh 输出的结果ssh-agent表示ssh-client启动,sshd表示ssh-s

SSH.ASDM接入原理与运用:远程登录

思 路 及 实 验 步 骤 一.内网获取外网配置: ciscoasa(config)#   int g0 ciscoasa(config-if)#   no shutdown ciscoasa(config-if)#   nameif inside ciscoasa(config-if)#   ip add 192.168.1.254 255.255.255.0 ciscoasa(config-if)#   security-level 150 ciscoasa(config-if)#   se