作者 主題: [ 安全 ] 使用簡單的登錄檔來控管你的 Red Hat Linux 7.x  (閱讀 9806 次)

0 會員 與 1 訪客 正在閱讀本文。

VBird

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 1516
    • 檢視個人資料
    • http://linux.vbird.org
大家好:

最近寫了一支小 script 來檢查自己的主機的一些資訊!以即時掌控主機的相關資訊!而且又僅是分析 log 檔案,對於他人並沒有機密上的問題發生!

這支程式主要可以偵測以下的紀錄:[list=1]
  • ssh
  • ftp
  • sendmail『 POP 與 SMTP 』 (有機過 smtp 認證機制的)[/list:o]

    由於可以對於主機掌控的蠻好的!覺得可以跟大家分享一下,所以就把他丟到網路上來啦!希望對大家有點幫助!

    執行很簡單的啦!不過請注意『本程式只能以 root 的身份執行!』[list=1]
  • 將檔案捉到您的 Linux 主機中:

http://aerosol.ev.ncku.edu.tw/~vbird/download/logfile.sh

  • 修改檔案屬性成:

chmod 700 logfile.sh

  • 修改檔案,只要改 email 與 basedir 這兩項即可:

vi logfile.sh
由於我預設是將結果輸出給 root ,但是由於 root 可能不能隨時收信,所以你可以將 email 改成你的 e-mail 位址即可!另外, basedir 跟你的 logfile.sh 放置的目錄有關,我預設是將這個檔案放置在 /usr/local/virus/logfile 底下,你可以:
cd /usr/local
mkdir virus
cd virus
mkdir logfile
cd logfile
cp /root/logfile.sh .
將檔案 copy 到該目錄下!當然,你也可以自行放置在不同的目錄下!不過,需要修改 basedir 就是了!

  • 設定每天的 23:57 分就執行這個程式:

vi /etc/crontab
57 23 * * * root /usr/local/virus/logfile/logfile.sh[/list:o]
這樣一來,每天系統就會統計一次當天的登錄檔,並且將 sendmail 寄出去與收到的總信件容量 (KBytes) 與 pop3 的登入次數,包括使用者與 IP ,並且將試圖以 smtp 經由我們主機寄信的 IP 與 ID 都給他列出來!還有,使用SSH的次數與 FTP 的次數,包括錯誤的登入者 ID 與 IP 都會被記錄出來!我覺得還不錯,提供給大家使用看看! :grin:

cpj2028

  • 懷疑的國中生
  • **
  • 文章數: 60
    • 檢視個人資料
RH6.2版不能用嗎?

cmliu

  • 可愛的小學生
  • *
  • 文章數: 7
    • 檢視個人資料

 這個不是裝logwatch就已經可以做到了?
 

VBird

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 1516
    • 檢視個人資料
    • http://linux.vbird.org
引用

在 2002-03-22 10:46, cpj2028 寫了:
RH6.2版不能用嗎?

這個我不曉得呢!
或釦A可以試試看,應該是可以的啦!因為檔案與登錄檔的寫入似乎都相同!

VBird

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 1516
    • 檢視個人資料
    • http://linux.vbird.org
引用

在 2002-03-22 11:04, cmliu 寫了:
 這個不是裝logwatch就已經可以做到了?

確實如此!不過由於 logwatch 還不能完全滿足我自己本身的要求,
例如使用 pop3 登入的時後,他僅列出位址,而沒有列出登入者,
那麼我要如何曉得是誰登入的呢?!這個對於系統安全還是有幫助的!

另外,使用 ssh 登入的時後,如果你的主機讓人 ssh 登入的量很大時,
可能看那些密密麻麻的登入資訊會有點累,所以就使用這個小程式把他彙整一下囉!

此外, smtp 在使用 logwatch 分析時,也只列出大約總共寄出多少容量,
也沒有分析每一個登入者,個人也覺得這樣還不夠滿意,所以才寫這個小程式的啦!

有興趣的話可以試試看再說啦!

cmliu

  • 可愛的小學生
  • *
  • 文章數: 7
    • 檢視個人資料
hello
我有一個建議修改的地方,第27行改成
/bin/date +%b' '%e -R > "$basedir/dattime"
因為我的RH 7.2的日期是中文顯示,但log檔裡是以英文日期來記錄

cpj2028

  • 懷疑的國中生
  • **
  • 文章數: 60
    • 檢視個人資料
但有點奇怪
我用vi logfile.sh編輯時
我無法利用上下左右鍵移動

之前用vi 都可以....真奇怪

sean70

  • 懷疑的國中生
  • **
  • 文章數: 47
    • 檢視個人資料
很不錯用的程式..

C.K.

  • 可愛的小學生
  • *
  • 文章數: 12
    • 檢視個人資料
為什麼我打date -R
會顯示如下!
瑢瓖,  5  4攫 2002 18:05:54 +0800
那麼我的這一個程式變的無法搜尋到相關的資料
寄給我的信所有的資料都是0
該怎麼辦!!
謝謝!!