【linux】登录审计

linux登录审计

桥接模式配置互联

1. VMware的“虚拟网络编辑器”
   

2. 输入’nm-connection-editor’，配置以太网
   

3. 为以太网连接配置网卡
   

4. 配置ipv4
   

5. 互ping

ssh远程登录

• ssh -l 用户名 ip地址
• exit退出ssh远程

[alex@alexw-device ~]$ ssh -l alex 1.1.1.2 
The authenticity of host '1.1.1.2 (1.1.1.2)' can't be established.
ECDSA key fingerprint is SHA256:/UV0cQ6NzCbQwWO9Me2xZhwr9zPEZ8NnEn/qoMX40q4.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added '1.1.1.2' (ECDSA) to the list of known hosts.
alex@1.1.1.2's password: 
Activate the web console with: systemctl enable --now cockpit.socket

This system is not registered to Red Hat Insights. See https://cloud.redhat.com/
To register this system, run: insights-client --register

Last login: Thu Oct 27 20:06:32 2022
[alex@alexw-device ~]$ touch testfile
[alex@alexw-device ~]$ ll
total 0
-rw-rw-r--. 1 alex alex 0 Nov 11 11:13 testfile
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

ssh相关

• Secure SHell ssh客户端
• Secure SHell daemon ssh服务端
• 软件包 openssh-server
• 主配置文件 /etc/ssh/sshd_conf
• 默认端口 22
• 运行着sshd的主机作为服务端，客户端使用ssh命令登录这个服务端。第一次登录时，服务端会要求客户端保留服务端提供的公钥，服务端会保留公钥对应的私钥对以后的登录进行身份验证
• 相关命令参数

-l #指定登陆用户
-i #指定私钥
-X #开启GUI界面
-f #后台运行
-o #指定连接参数
# ssh -l root@xxx.xxx.xxx.xxx -o "StrictHostKeyChecking=no" 首次连接不需要输入yes
-t #指定连接跳板
# ssh -l root xxx.xxx.xxx.xxx -t ssh -l root xxx.xxx.xxx.xxx
1
2
3
4
5
6
7
8

查看当前登录用户

• w 读取的/run/utmp

[alex@alexw-device ~]$ w
 11:22:08 up 12 min,  2 users,  load average: 0.00, 0.05, 0.06
USER     TTY      FROM             LOGIN@   IDLE   JCPU   PCPU WHAT
alexw    :1       :1               11:10   ?xdm?  11.37s  0.01s /usr/libexec/gd
alex     pts/1    1.1.1.1          11:12   12.00s  0.01s  0.01s -bash
1
2
3
4
5

查看登录历史

• last 读取的/var/log/wtmp

[alex@alexw-device ~]$ last
alex     pts/1        1.1.1.1          Fri Nov 11 11:12   still logged in
alexw    :1           :1               Fri Nov 11 11:10   still logged in
reboot   system boot  4.18.0-193.el8.x Fri Nov 11 19:09   still running
alexw    :1           :1               Fri Nov 11 11:01 - down   (00:08)
reboot   system boot  4.18.0-193.el8.x Fri Nov 11 19:00 - 11:09  (-7:50)
alexw    :1           :1               Sat Nov  5 11:03 - down  (5+23:54)
cindy    :1           :1               Sat Nov  5 11:03 - 11:03  (00:00)
alexw    :1           :1               Sat Nov  5 11:01 - 11:03  (00:01)

1
2
3
4
5
6
7
8
9
10

查看root账户的失败登录

• lastb 读取的/var/log/btmp

[root@alexw-device ~]# lastb
root     ssh:notty    1.1.1.1          Fri Nov 11 11:28 - 11:28  (00:00)
root     ssh:notty    1.1.1.1          Fri Nov 11 11:28 - 11:28  (00:00)

btmp begins Fri Nov 11 11:28:15 2022

1
2
3
4
5
6

生成非对称加密密钥对

1. 交互式 $ ssh-keygen
   

2. $ssh-keygen -f /root/.ssh/id_rsa -P “xxxxxx”

对服务器加密

ssh-copy-id -i /root/.ssh/id_rsa.pub username@serverip

sshd 安全优化参数

setenforce 0  # 临时关闭selinux防火墙
systemctl disable --now firewalld # 关闭防火墙服务
Port 2222 #设定端口为2222
PermitRootLogin yes|no #对超级用户登陆是否禁止
PasswordAuthentication yes|no #是否开启原始密码认证方式
AllowUsers uesr123 #用户白名单
DenyUsers uesr123 #用户黑名单
1
2
3
4
5
6
7

systemctl命令的用法

start ##开启
stop ##关闭
status ##查看状态
reload ##重新加载
restart ##重新启动服务
enable ##设定服务开机启动
enable --now ##设定服务开机启动并当前开启服务
disable ##设定服务开启不其动
list-units ##查看系统所有服务当前状态
list-unit-files ##查看服务开机状态
list-dependencies ##列出服务依赖性
mask ##冻结服务
unmask ##解锁
set-default ##设定系统运行模式
#multi-user.target 无图形网络模式
#graphical.target 有图形的网络模式
get-default ##查看系统运行模式
##系统运行模式
#0-6
#0 POWEROFF
#1 single
#2 noG+NETWORK
#3
#4
#5 G+NETWORK
#6 REBOOT
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26