作者 主題: 使用簡單的登錄檔來控管你的 Red Hat Linux 7.x  (閱讀 4195 次)

0 會員 與 1 訪客 正在閱讀本文。

Anonymous

  • 訪客
使用簡單的登錄檔來控管你的 Red Hat Linux 7.x
VBird
酷!學園 學長們


Joined: Jan 13, 2002
文章: 154
來自: 台南的啦!
 張貼: 2002-03-21 21:51  
--------------------------------------------------------------------------------
 大家好:

最近寫了一支小 script 來檢查自己的主機的一些資訊!以即時掌控主機的相關資訊!而且又僅是分析 log 檔案,對於他人並沒有機密上的問題發生!

這支程式主要可以偵測以下的紀錄:
ssh

ftp

sendmail『 POP 與 SMTP 』 (有機過 smtp 認證機制的)


由於可以對於主機掌控的蠻好的!覺得可以跟大家分享一下,所以就把他丟到網路上來啦!希望對大家有點幫助!

執行很簡單的啦!不過請注意『本程式只能以 root 的身份執行!』
將檔案捉到您的 Linux 主機中:
http://aerosol.ev.ncku.edu.tw/~vbird/download/logfile.sh


修改檔案屬性成:
chmod 700 logfile.sh


修改檔案,只要改 email 與 basedir 這兩項即可:
vi logfile.sh
由於我預設是將結果輸出給 root ,但是由於 root 可能不能隨時收信,所以你可以將 email 改成你的 e-mail 位址即可!另外, basedir 跟你的 logfile.sh 放置的目錄有關,我預設是將這個檔案放置在 /usr/local/virus/logfile 底下,你可以:
cd /usr/local
mkdir virus
cd virus
mkdir logfile
cd logfile
cp /root/logfile.sh .
將檔案 copy 到該目錄下!當然,你也可以自行放置在不同的目錄下!不過,需要修改 basedir 就是了!


設定每天的 23:57 分就執行這個程式:
vi /etc/crontab
57 23 * * * root /usr/local/virus/logfile/logfile.sh

這樣一來,每天系統就會統計一次當天的登錄檔,並且將 sendmail 寄出去與收到的總信件容量 (KBytes) 與 pop3 的登入次數,包括使用者與 IP ,並且將試圖以 smtp 經由我們主機寄信的 IP 與 ID 都給他列出來!還有,使用SSH的次數與 FTP 的次數,包括錯誤的登入者 ID 與 IP 都會被記錄出來!我覺得還不錯,提供給大家使用看看!  
_________________

劍客

  • 活潑的大學生
  • ***
  • 文章數: 238
    • 檢視個人資料
    • http://kalug.ks.edu.tw
使用簡單的登錄檔來控管你的 Red Hat Linux 7.x
« 回覆 #1 於: 2002-03-22 09:24 »
RedHaT 7.2 裝好就有一個 LogWatch 的東西,每天都會寄給 root 。 跟你描述要做的弁鈱
下列是信的內容,參考看看是不是你要的弁遄H

################## LogWatch 2.1.1 Begin #####################


 --------------------- Named Begin ------------------------

**Unmatched Entries**
   client 192.168.100.10#35417: update denied: 1 Time(s)
....

   dynamic update failed: 'RRset exists (value dependent)' prerequisite not satisfied (NXRRSET): 21 Time(s)


 ---------------------- Named End -------------------------



 --------------------- sendmail Begin ------------------------

25026 bytes transferred
1 messages sent
 ---------------------- sendmail End -------------------------


 ---------------- Connections (secure-log) Begin -------------------

Connections:
   Service pop3:
      202.145.53.89: 3 Time(s)

**Unmatched Entries**
Mar 21 11:05:33 orion sshd[5534]: Did not receive identification string from 202.187.151.49.
Mar 21 11:05:33 orion sshd[5535]: scanned from 202.187.151.49 with SSH-1.0-SSH_Version_Mapper.  Don't panic.
Mar 21 20:07:19 orion sshd[5951]: Did not receive identification string from 66.28.72.122.


 ----------------- Connections (secure-log) End --------------------



 ###################### LogWatch End #########################




VBird

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 1516
    • 檢視個人資料
    • http://linux.vbird.org
使用簡單的登錄檔來控管你的 Red Hat Linux 7.x
« 回覆 #2 於: 2002-03-22 11:45 »
是沒錯啦!弁酮O類似的!
不過由於 logwatch 的結果還不是很完整,對於我的管理上面還沒有很完備,
所以我才寫這個小程式的,或釦A也可以試試看,就知道哪裡不同了!