今天遭遇到对系统安全的威胁，处理之余，把接触的新知识记录下来

linux系统有完善详尽的日志，所以系统一旦发生问题，首先应当查看日志。
我们需要了解：
1、谁登陆了系统？
2、什么时候？
3、做了什么？

对此，我们可以查看 /var/log/message或者/var/log/secure 文件
在message文件中，我们可以看到类似下面的内容

Apr 8 00:15:01 hostname crond(pam_unix)[17690]: session opened for user root by (uid=0)
Apr 8 00:15:01 hostname crond(pam_unix)[17690]: session closed for user root
Apr 8 00:17:52 hostname sshd(pam_unix)[17742]: check pass; user unknown
Apr 8 00:17:52 hostname sshd(pam_unix)[17742]: authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=210.100.157.9

在secure文件中，可以看到

Apr 8 09:52:57 hostname sshd[16964]: Failed password for root from ::ffff:203.193.45.151 port 54880 ssh2
Apr 8 09:53:00 hostname sshd[16966]: Failed password for root from ::ffff:203.193.45.151 port 55409 ssh2
Apr 8 09:53:02 hostname sshd[16968]: Failed password for root from ::ffff:203.193.45.151 port 55675 ssh2

linux会记录下所有的操作命令，输入history就可以查看历史命令清单
默认会显示这样的信息：

971 cd mnt/ftp
972 ls
973 cd /mnt/
974 ls
975 exit
976 su
977 ls
978 cd /
979 ls

只有命令，而不知道具体操作的时间? 这不符合我们的要求。
设定history命令的时间参数来输出命令执行时间
例如

＃export HISTTIMEFORMAT="%F %T "
＃history
961 2007-04-08 03:01:51 ls
962 2007-04-08 03:01:51 cd ..
963 2007-04-08 03:01:51 cd ftp
964 2007-04-08 03:01:51 ls
965 2007-04-08 03:01:51 cd 11
966 2007-04-08 03:01:51 ls
967 2007-04-08 03:01:51 ls

Related posts:

1. Resize a live root FS
2. 如何保持Linux服务器间的文件同步
3. mount: unknown filesystem type 'smbfs'