Linux如何查看当前登录用户

Linux日志中用户登录失败怎么办

说实话,Linux 的日志相当混乱。
但你必须这样做。

第1 步:首先,找到日志文件。
在 Debian 上,它位于 /var/log/auth.log 中,在 CentOS 上,它位于 /var/log/secure 中。
检查谁使用最后一个命令登录,特别是那些标记为失败的人。
然后使用 grep 查找带有“Failedpassword”的行。
对于 Debian,请使用 grep "Failedpassword" /var/log/auth.log;对于 CentOS,请使用 grep "Failedpassword" /var/log/secure。

第二步:分析失败原因。
检查日志中“from”后面的IP来自哪里。
如果突然出现非洲IP或者是已知被列入黑名单的IP,则需要小心。
然后 grep "Failedpassword" /var/log/secure | awk '{print $1 1 }' |排序|独特的-c |通过对 -nr 进行排序,您可以看到哪些 IP 每分钟尝试数百个密码。
如果你有这样的IP,那就是暴力攻击。

第 3 步:处理此攻击。
快速锁定可疑帐户(sudo passwd -l 用户名)。
确保它是安全的,然后使用 sudo passwd -u 您的用户名来解锁它。
IP 也应该被阻止。
如果您使用 iptables,则可以执行 sudo iptables -A INPUT -smale_ip -j DROP。
如果 Ubuntu 使用 ufw,sudo ufw 将拒绝恶意 IP。
如果您在 CentOS 上使用防火墙,只需键入 sudo Firewall-cmd --permanent --add-rich-rule='rulefamily="ipv4 " sourceaddress="malicious_ip"ject',然后键入 sudo Firewall-cmd --reload。

第 4 步:提高密码强度。
应提示用户更改密码(sudo passwd 用户名)。
您的密码长度必须至少为 1 2 个字符,并且包含大写和小写字母数字字符。
不要使用 admin1 2 3 每 3 个月更换一次。

第五步:强化体系。
Debian/Ubuntu 使用 sudo apt update && sudo apt update -y。
CentOS 使用 sudo yum update -y。
避免打开过多的系统服务。
要进行检查,请使用 sudo systemctl list-units --type=service。
FTP Telnet 和其他未使用的服务被关闭。
要更改 SSH 端口,请编辑 /etc/ssh/sshd_config,将端口 2 2 更改为 2 2 2 2 ,然后重新启动 sshd。
root 登录已禁用。
设置 PermitRootLogin 号码。
对于密钥身份验证,PasswordAuthentication 没有。

第 6 步:监控警报。
要查看实时日志,请使用 tail -f /var/log/auth.log。
或者使用 LogWatch 之类的工具。
Fail2 Ban 可以自动阻止 IP。
安装后,更改 /etc/fail2 ban/jail.local 自定义规则。
您还可以编写自己的脚本,如下所示:
!/bin/bash failed_logins=$(grep "密码失败" /var/log/secure | wc -l) 如果 [ $failed_logins -gt 1 0 ];然后 echo“警告:登录尝试失败次数过多!” |邮件-s“安全警告”admin@example.com fi
cron 定期运行。

第 7 步:安全工具。
Fail2 Ban 很棒。
OSSEC 可以确定文件何时被修改,ClamAV 可以扫描病毒。

第 8 步:备份和恢复。
使用 rsync 或 BorgBackup 备份到其他地方。
您应该定期尝试恢复以确保您的数据确实可以打开。

第 9 步:如果您遇到此类复杂的 APT 攻击,请联系您的 IT 团队。
给他们看日记,但要让他们有感觉。
别沉闷了。

第1 0步:长时间这样做。
给用户最小的权限并且不要使用 sudo。
定期检查 /etc/passwd /etc/shadow 是否有奇怪的帐户。
管理员必须接受培训,以避免被社会工程愚弄。

是的。
您需要详细分析日志、封锁IP、更改密码、加固系统和监控。
这样系统就会变得更加稳定。

Windows服务器远程登录日志查询方法,linux查看登录日志方法

2 02 3 年,朋友问我,如何查看Linux服务器登录日志?我说很简单,用root权限,运行最后一条命令就可以了。
该命令可以查看用户名、终端位置、登录IP、时间、状态和持续时间。
信息很完美。

上周,我帮另一位朋友查看了windows服务器的登录日志。
它要求我打开事件查看器,在 Windows 日志中查找安全日志,然后搜索“登录”。
对于找到的每条信息,只需查看 IP 地址和端口即可。
综上所述,无论是Linux还是Windows,登录都非常重要,可以了解服务器的安全情况。
如果还有其他疑问,可以关注。