文章目录
前言
本博客内容仅为记录博主思路,仅供参考,一切以自己实践结果为准。
一、定义
账户的管控与日志的查看。
二、账户
2.1 账户管控(归纳)
useradd 选项 用户
#添加用户
userdel 选项 用户
#删除用户
passwd 选项 用户(通过命令锁定用户)
#-l:锁定用户
#-u:解锁用户
chattr 选项 /etc/passwd(通过锁定配置文件)
#-a:只能追加内容,无法删除
#-i:不得更改文件内容
chsh -s /sbin/nologin 用户
#更改用户默认shell环境为无法登陆(/sbin为可登陆)
su 用户
#切换登陆用户
#(配置文件/etc/sudoers;子配置/etc/sudoers.d/test;日志/var/logo/sudo)
history -c(临时清除历史命令)
echo '' >$HOOME/.bash_history
#开机清除:修改配置文件$HOME/.bashrc写入echo '' >$HOOME/.bash_history
#关机清除:修改配置文件$HOME/.bashrc_logout写入echo '' >$HOOME/.bash_history
2.2 密码规则
配置文件/etc/login.defs
chage 选项 用户
#-m:更改密码最小间隔时间
#-M:密码最大有效期
#-w:密码到期预警天数
#-E:密码失效账户不可用日期
#-d:显示上一次密码更改日期
#-i:显示密码失效宽限期
#-l:列出当前设置
三、日志
3.1 rsyslog日志
- 多线程
- UDP/TCP/SSl/TLS/RElp
- 强大的过滤器,可过滤任何部分
- mysql/pgsql/oracle实现日志储存
- 自定义输出 格式
- 使用企业中继
3.2 日志等级
常见日志等级
- debug:一般调试信息
- info:基本通知信息
- notice:普通信息
- warning:警告信息
- error:错误信息
不常见日志等级
-crit:临界状态
- alert:状态信息,需立马采取行动
- emerg:崩坏
3.3 日志分类
- quth:安全认证相关
- authpriv:安全认证相关(私有)
- cron:系统定时任务产生的日志
- daemon:各个守护进程相关的日志
- ftp:ftp守护进程产生的日志
- kern:内核产生的日志
- local0-local7:为本地预留的服务(自定义)
- lpr:打印产生的日志
- mail:邮件收发信息
- news:与新闻服务器相关的日志
- syslkog:存放syslog日志
- user:用户等级类别信息日志
- uucp:uucp子系统日志信息
3.4 日志存放位置
/var/log/secure
#系统安全日志,文本格式,应周期性分析
/var/log/btmp
#当前系统上,用户的失败尝试登录相关的日志信息,二进制格式,lastb命令进行查看
/var/log/wtmp
#当前系统上,用户正常登录系统的相关日志信息,二进制格式,last命令可以查看
/var/log/lastlog
#每一个用户最近一次的登录信息,二进制格式,lastlog命令可以查看
/var/log/dmesg
#CentOS7 之前版本系统引导过程中的日志信息,文本格式,开机后的硬件变化将不再记录专用命令dmesg查看,可持续记录硬件变化的情况
/var/log/boot.log
#系统服务启动的相关信息,文本格式
/var/log/message
#系统中大部分的信息
/var/log/anaconda
#anaconda的日志
3.5 ssh日志分离
tail -f /var/log/secure
#查看ssh日志位置
vim /etc/ssh/sshd_config
#修改ssh配置文件,32下一行添加自己的自定义
32行:#SyslogFacility AUTHPRIV
33行:SyslogFacility LOCAL6(自定义使用local6日志分类)
vim /etc/rsyslog.conf
#修改日志文件配置:第76行添加自己的文件位置
local6.* /var/log/ssh.log
(意思:local的所有等级的日志,都保存在/var/log/ssh.log中)
- 正文
四、思维导图
五、结语
总结:想要学得好,唯有多敲多练。
1498
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
