AIX系统的安全日志.docx

《AIX系统的安全日志.docx》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、AIX系统的安全日志来源：神马新浮云点击：89次　2011-07-04　【易创Cms：让建站更简单】[导读]AIX系统的安全日志AIX系统不仅通过用户权限来限制用户的使用，提高系统的安全，另外，还通过安全日志文件来记录用户的安全活动信息。这些文件包括/var/adm/sulog、/var/adm/wtmp、/etc/utmp、/etc/security/failedlogin。下面就对上述文件进行解释一、/var/adm/sulog文件：记 AIX系统的安全日志 AIX系统不仅通过用户权限来限制用户的使用，提高系统的安全，另外，还通过安全日志文

2、件来记录用户的安全活动信息。这些文件包括/var/adm/sulog、/var/adm/wtmp、/etc/utmp、/etc/security/failedlogin。下面就对上述文件进行解释 一、/var/adm/sulog文件：记录每次执行su命令的日志。   /var/adm/sulog文件记录了每个用户每次使用su命令的记录，所以使用su命令可以留下痕迹。该文件内容为文本内容，可以用more、pg、cat命令查看文件内容。该文件记录了执行su命令的日期、时间和终端，还包括执行su命令的用户以及切换的用户名。下图是执行cat命令查看su

3、log文件的结果：  #cat /var/adm/sulog其中‘+’号表示su用户成功，‘-’号表示su切换用户失败。‘root–mqm’表示从root用户切换到mqm用户。 二、/var/adm/wtmp文件：当用户登录成功后，会在该文件中添加一条关于登录用户的信息。该记录包括登录的用户名，登录的方式--是终端还是ftp，登录用户IP地址，登录日期，在系统内保持的时间范围，特殊操作，如关机，重启等。该文件需要用who命令或者last命令查看。1、last命令：last命令默认打开/var/adm/wtmp文件，执行在提示符下执行last命令

4、就会显示用户的登录信息。下面是last命令的用法：  #last -10 ------显示最新的10条记录  #last bao -----显示用户bao登录系统的情况  #last -f filename  ----显示指定路径下的具有wtmp格式的文件。2、who命令：who命令也可以显示wtmp格式的文件。  #who /var/adm/wtmp     ---用who命令显示/var/adm/wtmp内容 三、/etc/utmp文件：当用户登录成功后，会在该文件中添加一条记录，当用户退出系统时，同样会删除该用户的记录信息。换句话说，就是

5、改文件记录目前系统中活动的用户信息，该命令通常用who命令查看  #who /etc/utmp 四、/etc/security/failedlogin文件：记录失败的登录信息，该文件记录内容为用户名，终端，时间，日期，远程登录主机的IP地址。 注：以上文件只有root用户可以管理查看，假如我们的小机被黑客攻击，可以通过查看这几个文件来寻找线索，主要是查看/var/adm/sulog和/var/adm/wtmp文件中的记录。当然了，如果黑客获得了root用户权限的话，会清空文件信息，以掩盖登录记录。