RedHat 系统安全加固(三)系统日志审计
小于 1 分钟
前言
本系列笔记又是 Liunx 学习系列教程的一大步, 本系列学习笔记记录 RedHat 系统的安全加固。本篇笔记是记录系统日志审计的配置, 加强系统的防御能力。
syslog 登录事件记录
查看参数 authpriv 值, For Exmaple:
more /etc/syslog.conf | grep authpriv
表名登录事件记录在 /var/log/secure 文件中, 使用以下命令检查非法记录
more /var/log/secure | grep refused
审计功能的进程
启动审计进程, For Exmaple:
service auditd start
service psacct start
启动 psacct 服务
service psacct start
chkconfig psacct on
查看记录审计的日志
auditd审计进程日志记录在/var/log/audit/audit.logpsacct日志记录在/var/account/pacct
注意
pacct 日志是二进制文件, 使用以下命令进行查看
For Exmaple:
lastcomm -f /var/account/pacct
登录日志查看
lastlog 查看用户最后一次登录时间, For Exmaple:
lastlog
