一、定义
账户的管控与日志的查看。
二、账户
2.1 账户管控(归纳)
useradd 选项 用户 #添加用户 userdel 选项 用户 #删除用户 passwd 选项 用户(通过命令锁定用户) #-l:锁定用户 #-u:解锁用户 chattr 选项 /etc/passwd(通过锁定配置文件) #-a:只能追加内容,无法删除 #-i:不得更改文件内容 chsh -s /sbin/nologin 用户 #更改用户默认shell环境为无法登陆(/sbin为可登陆) su 用户 #切换登陆用户 #(配置文件/etc/sudoers;子配置/etc/sudoers.d/test;日志/var/logo/sudo) history -c(临时清除历史命令) echo '' >$HOOME/.bash_history #开机清除:修改配置文件$HOME/.bashrc写入echo '' >$HOOME/.bash_history #关机清除:修改配置文件$HOME/.bashrc_logout写入echo '' >$HOOME/.bash_history
2.2 密码规则
配置文件/etc/login.defs chage 选项 用户 #-m:更改密码最小间隔时间 #-M:密码最大有效期 #-w:密码到期预警天数 #-E:密码失效账户不可用日期 #-d:显示上一次密码更改日期 #-i:显示密码失效宽限期 #-l:列出当前设置
三、日志
3.1 rsyslog日志
- 多线程
- UDP/TCP/SSl/TLS/RElp
- 强大的过滤器,可过滤任何部分
- mysql/pgsql/oracle实现日志储存
- 自定义输出 格式
- 使用企业中继
3.2 日志等级
常见日志等级
- debug:一般调试信息
- info:基本通知信息
- notice:普通信息
- warning:警告信息
- error:错误信息
不常见日志等级
-crit:临界状态
- alert:状态信息,需立马采取行动
- emerg:崩坏
3.3 日志分类
- quth:安全认证相关
- authpriv:安全认证相关(私有)
- cron:系统定时任务产生的日志
- daemon:各个守护进程相关的日志
- ftp:ftp守护进程产生的日志
- kern:内核产生的日志
- local0-local7:为本地预留的服务(自定义)
- lpr:打印产生的日志
- mail:邮件收发信息
- news:与新闻服务器相关的日志
- syslkog:存放syslog日志
- user:用户等级类别信息日志
- uucp:uucp子系统日志信息
3.4 日志存放位置
/var/log/secure #系统安全日志,文本格式,应周期性分析 /var/log/btmp #当前系统上,用户的失败尝试登录相关的日志信息,二进制格式,lastb命令进行查看 /var/log/wtmp #当前系统上,用户正常登录系统的相关日志信息,二进制格式,last命令可以查看 /var/log/lastlog #每一个用户最近一次的登录信息,二进制格式,lastlog命令可以查看 /var/log/dmesg #CentOS7 之前版本系统引导过程中的日志信息,文本格式,开机后的硬件变化将不再记录专用命令dmesg查看,可持续记录硬件变化的情况 /var/log/boot.log #系统服务启动的相关信息,文本格式 /var/log/message #系统中大部分的信息 /var/log/anaconda #anaconda的日志
3.5 ssh日志分离
tail -f /var/log/secure #查看ssh日志位置 vim /etc/ssh/sshd_config #修改ssh配置文件,32下一行添加自己的自定义 32行:#SyslogFacility AUTHPRIV 33行:SyslogFacility LOCAL6(自定义使用local6日志分类) vim /etc/rsyslog.conf #修改日志文件配置:第76行添加自己的文件位置 local6.* /var/log/ssh.log (意思:local的所有等级的日志,都保存在/var/log/ssh.log中)
四、思维导图
