主題: 使用簡單的登錄檔來控管你的 Red Hat Linux 7.x

[Anonymous]

使用簡單的登錄檔來控管你的 Red Hat Linux 7.x
VBird
酷！學園 學長們


Joined: Jan 13, 2002
文章: 154
來自: 台南的啦！
 張貼: 2002-03-21 21:51  
--------------------------------------------------------------------------------
 大家好：

最近寫了一支小 script 來檢查自己的主機的一些資訊！以即時掌控主機的相關資訊！而且又僅是分析 log 檔案，對於他人並沒有機密上的問題發生！

這支程式主要可以偵測以下的紀錄：
ssh

ftp

sendmail『 POP 與 SMTP 』 （有機過 smtp 認證機制的）


由於可以對於主機掌控的蠻好的！覺得可以跟大家分享一下，所以就把他丟到網路上來啦！希望對大家有點幫助！

執行很簡單的啦！不過請注意『本程式只能以 root 的身份執行！』
將檔案捉到您的 Linux 主機中：
http://aerosol.ev.ncku.edu.tw/~vbird/download/logfile.sh


修改檔案屬性成：
chmod 700 logfile.sh


修改檔案，只要改 email 與 basedir 這兩項即可：
vi logfile.sh
由於我預設是將結果輸出給 root ，但是由於 root 可能不能隨時收信，所以你可以將 email 改成你的 e-mail 位址即可！另外， basedir 跟你的 logfile.sh 放置的目錄有關，我預設是將這個檔案放置在 /usr/local/virus/logfile 底下，你可以：
cd /usr/local
mkdir virus
cd virus
mkdir logfile
cd logfile
cp /root/logfile.sh .
將檔案 copy 到該目錄下！當然，你也可以自行放置在不同的目錄下！不過，需要修改 basedir 就是了！


設定每天的 23:57 分就執行這個程式：
vi /etc/crontab
57 23 * * * root /usr/local/virus/logfile/logfile.sh

這樣一來，每天系統就會統計一次當天的登錄檔，並且將 sendmail 寄出去與收到的總信件容量 (KBytes) 與 pop3 的登入次數，包括使用者與 IP ，並且將試圖以 smtp 經由我們主機寄信的 IP 與 ID 都給他列出來！還有，使用SSH的次數與 FTP 的次數，包括錯誤的登入者 ID 與 IP 都會被記錄出來！我覺得還不錯，提供給大家使用看看！  
_________________

[劍客]

RedHaT 7.2 裝好就有一個 LogWatch 的東西，每天都會寄給 root 。 跟你描述要做的弁鈱
下列是信的內容，參考看看是不是你要的弁遄H

################## LogWatch 2.1.1 Begin #####################


 --------------------- Named Begin ------------------------

**Unmatched Entries**
   client 192.168.100.10#35417: update denied: 1 Time(s)
....

   dynamic update failed: 'RRset exists (value dependent)' prerequisite not satisfied (NXRRSET): 21 Time(s)


 ---------------------- Named End -------------------------



 --------------------- sendmail Begin ------------------------

25026 bytes transferred
1 messages sent
 ---------------------- sendmail End -------------------------


 ---------------- Connections (secure-log) Begin -------------------

Connections:
   Service pop3:
      202.145.53.89: 3 Time(s)

**Unmatched Entries**
Mar 21 11:05:33 orion sshd[5534]: Did not receive identification string from 202.187.151.49.
Mar 21 11:05:33 orion sshd[5535]: scanned from 202.187.151.49 with SSH-1.0-SSH_Version_Mapper.  Don't panic.
Mar 21 20:07:19 orion sshd[5951]: Did not receive identification string from 66.28.72.122.


 ----------------- Connections (secure-log) End --------------------



 ###################### LogWatch End #########################

[VBird]

是沒錯啦！弁酮O類似的！
不過由於 logwatch 的結果還不是很完整，對於我的管理上面還沒有很完備，
所以我才寫這個小程式的，或釦A也可以試試看，就知道哪裡不同了！