1. 查看日志文件

 Linux查看/var/log/wtmp文件查看可疑IP登陸

 last -f /var/log/wtmp

該日志文件永久記錄每個(gè)用戶(hù)登錄、注銷(xiāo)及系統(tǒng)的啟動(dòng)、停機(jī)的事件。因此隨著系統(tǒng)正常運(yùn)行時(shí)間的增加，該文件的大小也會(huì)越來(lái)越大，

增加的速度取決于系統(tǒng)用戶(hù)登錄的次數(shù)。該日志文件可以用來(lái)查看用戶(hù)的登錄記錄，

last命令就通過(guò)訪(fǎng)問(wèn)這個(gè)文件獲得這些信息，并以反序從后向前顯示用戶(hù)的登錄記錄，last也能根據(jù)用戶(hù)、終端tty或時(shí)間顯示相應(yīng)的記錄。

查看/var/log/secure文件尋找可疑IP登陸次數(shù)

2  腳本生產(chǎn)所有登錄用戶(hù)的操作歷史

在linux系統(tǒng)的環(huán)境下，不管是root用戶(hù)還是其它的用戶(hù)只有登陸系統(tǒng)后用進(jìn)入操作我們都可以通過(guò)命令history來(lái)查看歷史記錄，可是假如一臺(tái)服務(wù)器多人登陸，一天因?yàn)槟橙苏`操作了刪除了重要的數(shù)據(jù)。這時(shí)候通過(guò)查看歷史記錄（命令：history）是沒(méi)有什么意義了（因?yàn)閔istory只針對(duì)登錄用戶(hù)下執(zhí)行有效，即使root用戶(hù)也無(wú)法得到其它用戶(hù)histotry歷史）。那有沒(méi)有什么辦法實(shí)現(xiàn)通過(guò)記錄登陸后的IP地址和某用戶(hù)名所操作的歷史記錄呢？答案：有的。

通過(guò)在/etc/profile里面加入以下代碼就可以實(shí)現(xiàn)：

source /etc/profile 使用腳本生效

退出用戶(hù)，重新登錄

?面腳本在系統(tǒng)的/tmp新建個(gè)dbasky目錄，記錄所有登陸過(guò)系統(tǒng)的用戶(hù)和IP地址（文件名），每當(dāng)用戶(hù)登錄/退出會(huì)創(chuàng)建相應(yīng)的文件，該文件保存這段用戶(hù)登錄時(shí)期內(nèi)操作歷史，可以用這個(gè)方法來(lái)監(jiān)測(cè)系統(tǒng)的安全性。

root@zsc6:[/tmp/dbasky/root]ls

10.1.80.47 dbasky.2013-10-24_12:53:08

root@zsc6:[/tmp/dbasky/root]cat 10.1.80.47 dbasky.2013-10-24_12:53:08