最近在網上買了個vps準備學習linux
結果沒幾天就被黑了,密碼還給我改了。。。
在網上搜到一段**,可以j記錄使用者登入資訊以及執行了哪些命令的。
---------------------------
主要功能:
可以記錄哪個ip和時間(精確到秒)作了哪些命令
通過使用者登入時候,重新定義histfile
histfile檔名包含登入使用者名稱,ip,登入時間(精確到秒)等
這樣即使相同的使用者從不同ip、在不同的時間登入都會被記錄
可以記錄每條命令的開始執行時間
把下面的**直接貼上到/etc/profile後面就可以了
#history
export histtimeformat="[%y.%m.%d %h:%m:%s]"
user_ip=`who -u am i 2>/dev/null| awk ''|sed -e 's/[()]//g'`
histdir=/var/log/.hist
if [ -z $user_ip ] then
user_ip=`hostname`
fiif [ ! -d $histdir ] then
mkdir -p $histdir
chmod 777 $histdir
fiif [ ! -d $histdir/$ ] then
mkdir -p $histdir/$
chmod 300 $histdir/$
fiexport histsize=4096
dt=`date +%y%m%d_%h%m%s`
export histfile="$histdir/$/$.hist.$dt"
chmod 600 $histdir/$/*.hist* 2>/dev/null
得到的結果,永久儲存,每個使用者的命令記錄分目錄儲存
# ls -l /var/log/.hist/root/
-rw------- 1 root root 546 2006-05-26 10:00 218.82.245.54.hist.20060526_092458
-rw------- 1 root root 243 2006-05-28 13:28 218.82.245.54.hist.20060528_114822
-rw------- 1 root root 10 2006-05-28 12:18 218.82.245.54.hist.20060528_121605
檢視命令記錄
# export histfile=/var/log/.hist/root/222.72.16.204.hist.20060608_152551
# history
1 [2006.06.24 13:22:51] vi /etc/profile
2 [2006.06.24 13:23:25] cd /var/log/.hist
3 [2006.06.24 13:23:26] ls -al
4 [2006.06.24 13:23:30] cd sadmin
5 [2006.06.24 13:23:31] ls -al
6 [2006.06.24 13:24:22] more 58.35.169.51.hist.20060524_193219
7 [2006.06.24 13:24:35] 222.72.16.204.hist.20060622_143133
8 [2006.06.24 13:24:39] more 222.72.16.204.hist.20060622_143133
9 [2006.06.24 13:24:51] hist -f 222.72.16.204.hist.20060622_143133
10 [2006.06.24 13:24:59] history -f 222.72.16.204.hist.20060622_143133
11 [2006.06.24 13:25:12] history 222.72.16.204.hist.20060622_143133
12 [2006.06.24 13:25:32] man histtory
13 [2006.06.24 13:25:38] man history
14 [2006.06.24 13:26:00] hist
15 [2006.06.24 13:26:04] history
16 [2006.06.24 13:26:16] ls
17 [2006.06.24 13:26:39] export 222.72.16.204.hist.20060622_143133
18 [2006.06.24 13:26:59] export histfile=222.72.16.204.hist.20060608_152551
19 [2006.06.24 13:27:07] history
linux記錄登入ip方法
ps linux使用者操作記錄一般通過命令history來檢視歷史記錄,但是如果因為某人誤操作了刪除了重要的資料,這種情況下history命令就不會有什麼作用了。以下方法可以實現通過記錄登陸ip位址和所有使用者登入所操作的日誌記錄!在 etc profile配置檔案的末尾加入以下指令碼 就可以實現,...
Linux下清空使用者登入記錄和命令歷史的方法
清除登陸系統成功的記錄,也就是last命令看到的記錄 root localhost root echo var log wtmp 此檔案預設開啟時亂碼的,裡面可以看到ip等等資訊 root localhost root echo var log wtmp root localhost root la...
Linux 使用者登入資訊相關函式
整理linux中登入相關資訊的函式 1 etc passwd檔案操作的相關函式 struct passwd struct passwd getpwnam const char name 函式功能 通過傳入的使用者名稱得到struct passwd結構體 struct passwd getpwuid ...