Linux

Linux安全相关命令

admin 提交于 周五, 04/08/2016 - 16:02

1、有关当前登录用户的信息记录在文件utmp中;======who命令

2、登录进入和退出纪录在文件wtmp中;========w命令

3、最后一次登录文件可以用lastlog命令察看;

4、messages======从syslog中记录信息

注意:wtmp和utmp文件都是二进制文件,他们不能被诸如tail命令剪贴或合并(使用cat命令)。用户

需要使用who、w、users、last和ac来使用这两个文件包含的信息。

例子:

last命令往回搜索wtmp来显示自从文件第一次创建以来登录过的用户

users用单独的一行打印出当前登录的用户,每个显示的用户名对应一个登录会话

w命令查询utmp文件并显示当前系统中每个用户和它所运行的进程信息

who命令查询utmp文件并报告当前登录的每个用户

ac命令根据当前的/var/log/wtmp文件中的登录进入和退出来报告用户连结的时间(小时)

utmp文件,它记录当前登录进系统的各个用户;

包含下列结构的一个二进制记录写入这两个文件中:

struct utmp {

标签

FIFO special file - pipe

admin 提交于 周一, 02/29/2016 - 18:19

管道操作是计算机工程的哲学。一般的命令行程序有STDIN、STDOUT、STDERR 3个管道。除了这种管道之外还可以创建管道文件:mkfifo <filename>

一个应用的例子是,mplayer可以从标准输入获取媒体数据,同时通过管道文件获取控制命令(取代键盘控制界面),这是对命令行交互的一种重要补充方式。

mplayer <mediafile> -input file=pipefilepath

启动mplayer后可以echo 'p'>pipefilepath发送暂停命令,再执行一次重新播放。这种管道文件是可以重复打开不破坏管道的。mplayer的控制命令和键盘控制键不同,可参考https://www.mplayerhq.hu/DOCS/tech/slave.txt

标签

怎样分析Linux /var/crash目录下的文件

admin 提交于 周五, 01/08/2016 - 16:02

当一个程序崩溃的时候会在/var/crash里产生一个日志文件。这个文件通过以下命令可以解压成一个目录:

apport-unpack <source crash file> <target extracted folder>

进入该目录后,有一个Stacktrace的文件,用vi打开可以看到奔溃的程序堆栈。

也可以分析里面的CoreDump文件,命令是:

gdb <crash_application> CoreDump

参考:How do I use crash reports?

标签

监控Linux用户操作

admin 提交于 周三, 11/25/2015 - 15:23

限制history文件不可删除:

chattr +a .bash_history

在/etc/profile里添加如下命令:

 

export HISTFILE=$HOME/.bash_history

export HISTIGNORE=

export HISTTIMEFORMAT="%Y-%m-%d - %H:%M:%S "

 

typeset -r HISTFILE

typeset -r HISTIGNORE

typeset -r HISTTIMEFORMAT

 

shopt -s cmdhist

shopt -s histappend

 

PROMPT_COMMAND="history -a"

typeset -r PROMPT_COMMAND

使用ACCT工具双重监控。

参考:

标签