linux:linux系統安全詳解

一、BIOS安全(硬體上的安全)
1,最基本最簡單的安全配置,保障計算機硬體配置等不被別人更改.給BIOS設置密碼,防止改變啟動順序從軟盤或 光碟啟動.防止特殊的啟動盤啟動用戶的系統,進入rescue或其他模式.改變或刪除當前配置等.每一個細心的網 管每個細節都不應該忽視!
2,禁止使用contral alt delete重起機器
編輯/etc/inittab文件,註釋掉下面一行.
ca::ctrlaltdel:/sbin/shutdown -t3 -r now
該成:（使用#）
# ca::ctrlaltdel:/sbin/shutdown -t3 -r now

二、帳號安全 口令,系統的第一道防線,目前大多數數攻擊都是截獲口令或猜測口令等口令攻擊開始的.
/etc 目錄下主要存放系統的配置文件.我們要對這個目錄下的好多文件進行修改.
1,/etc/login.defs文件是login程序的配置文件.口令的長度和口令的有效期等可以在這裡設置.
[root@tp ~]# vi /etc/login.defs
...
PASS_MAX_DAYS 9999 密碼被用最多天數
PASS_MIN_DAYS 0 密碼被用最少天數
PASS_MIN_LEN 5 系統默認密碼長度5,我們可以該成8或更多.
PASS_WARN_AGE 7 密碼有效期警告,超過7天將提示用戶更換新的密碼.
...

2,/etc/profile文件是環境變數設置文件.在此文件設置環境變數將對所有用戶生效.我們要在此文件設置自動 註銷帳戶的時間.及命令的歷史記錄數.
[root@tp ~]# vi /etc/profile
...
HOSTNAME=`/bin/hostname`
HISTSIZE=1000 這裡1000代表用戶操作命令的歷史記錄.應盡量小一些.設置成0也可以,呵呵.
tmout=600 添加此行,如果系統用戶在600秒(10分鐘)內不做任何操作,將自動註銷這個用戶.
...
3,/etc/passwd文件存放系統用戶名,用戶標識(UID),組標識(GID)等的地方.我們要在這裡找到並清除沒有設置 口令的用戶.同時還要清除一些特別帳號(因為可能會存在潛在的危險).

[root@tp ~]# vi /etc/passwd
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
...
wh::500:501::/home/wh:/bin/bash
仔細觀察上面的一行(wh用戶),在第二項,兩個冒號中間什麼都沒有,而上面的的用戶(如root用戶)都是x. 這表 明此用戶沒有密碼.要不添加上,要不刪掉.
4,特別帳號的處理
如果不啟動用sendmail,刪除如下用戶
[root@tp wh]# userdel adm
[root@tp wh]# userdel lp
[root@tp wh]# userdel sync
[root@tp wh]# userdel shudown
[root@tp wh]# userdel halt
[root@tp wh]# userdel mail
如果不用X windows伺服器.可有刪除
[root@tp wh]# userdel news
[root@tp wh]# userdel uucp
[root@tp wh]# userdel operator
[root@tp wh]# userdel games
如果不允許匿名FTP帳號登陸,可刪除
[root@tp wh]# userdel gopher
[root@tp wh]# userdel ftp

三、重要文件的安全設置.
要了解兩個命令
1,chmod:改變文件的屬主
2,chattr:改變文件屬性
我們要做的是把重要文件的屬主改成root並給相應的許可權,還有就是改變文件的屬性讓它禁止被修改
我們來統計一下重要文件:(其實,只要你不想讓其他用戶更改的文件都可以這麼做,我這裡只是為安全而選擇了 下面的文件.)
1,/etc/passwd,passwd-,passwd.OLD,group,group- 用戶,組的ID等信息文件.
2,/etc/shadow,shadow-,gshadow,gshadow- 用戶,組密碼加密文件.
3,/etc/xinetd.conf 網路守護進程主配置文件
4,/etc/inittab 系統在啟動是會讀取這個文件里的內容.
5,/etc/services 防止未經許可的刪除或添加服務
6,/etc/rc.d/rc.sysinit 系統啟動是需要讀取的文件,
7,/etc/rc.d/init.d/*
以一個文件為例,其它都一樣
[root@tp etc]# chmod 700 passwd
[root@tp etc]# chattr i passwd
當chattr i時就是禁止對文件進行修改,當我們要添加用戶時,就會有麻煩,因為passwd文件禁止修改寫入. 我們還要該掉它的屬性.chattr -i.

四、防止攻擊系統安全設置 1,限制用戶使用系統資源,主要包括資源最大進程數,內存使用量等.這樣可以防止DOS類型攻擊.
需要編輯文件
[root@tp /]# vi /etc/security/limits.conf
...
(這三行是添加的)
* hard core 0 禁止創建core文件
* hard rss 5000 其他用戶(除root)最多使用5M內存
* hard nproc 20 最多進程數限制在20
注:*表示所有登陸到linux的用戶.
# End of file
[root@tp /]# vi /etc/pam.d/login
...
在文件末尾加入下面一行
session required /lib/security/pam_limits.so
2,限制控制台的訪問
[root@tp /]# vi /etc/securetty
...
我們註釋掉
tty1
# tty2
# tty3
# tty4
# tty5
# tty6
只留下tty1,這時,root僅可在tty1終端登錄
3,禁止外來ping請求.
[root@tp /]# vi /etc/rc.d/rc.local
...
在加入一行
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
4,防止IP地址欺騙
[root@tp /]# vi /etc/host.conf
加入如下幾行
order bind,hosts
multi off
nospoof on
5,禁止su命令進入root(這一部我反覆測試總是不成功,group組裡的用戶依然不能su成root用戶.希望知道的朋 友告訴我,謝謝)
[root@tp pam.d]# vi /etc/pam.d/su
...
在下面加入如下兩行
auth sufficient /lib/security/pam_rootok.so debug
auth required /lib/security/pam_wheel.so group=xxx
這表示只有xxx組的用戶可以su成root.
6,使用TCP_WRAPPER
在默認情況下linux系統允許所有請求,可用TCP_WRAPPER增強安全性,
在/etc/hosts.deny寫入"ALL:ALL"禁止所有請求
[root@tp etc]# vi /etc/hosts.deny
#
# hosts.deny This file describes the names of the hosts which are
# *not* allowed to use the local INET services, as decided
# by the '/usr/sbin/tcpd' server.
#
# The portmap line is redundant, but it is left to remind you that

# the new secure portmap uses hosts.deny and hosts.allow. In particular
# you should know that NFS uses portmap!
"ALL:ALL"
把允許訪問的客戶,或服務添加到/etc/hosts.allow,冒號左邊為服務,冒號右邊為授權的機器
[root@tp etc]# vi /etc/hosts.allow
#
# hosts.allow This file describes the names of the hosts which are
# allowed to use the local INET services, as decided
# by the '/usr/sbin/tcpd' server.
#
vsftp:211.101.46.253 注:僅如許IP地址為211.101.46.253的機器訪問FIP伺服器
7．刪減登錄信息
[root@tp ~]# rm -f /etc/issue
[root@tp ~]# rm -f /etc/issue.net
[root@tp ~]# touch /etc/issue
[root@tp ~]# touch /etc/issue.net

五、確保開啟服務的安全性
我們先來看一下自己系統開啟了多少服務.
[root@tp ~]# ps -eaf | wc -l
55
我的是55
我們可以通過當前的進程里在來看一下都是什麼服務
[root@tp ~]# ps -aux
Warning: bad syntax, perhaps a bogus '-'? See /usr/share/doc/procps-3.2.3/FAQ
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
root 1 0.0 0.2 2592 560 ? S 21:02 0:00 init [3]
root 2 0.0 0.0 0 0 ? SN 21:02 0:00 [ksoftirqd/0]
root 3 0.0 0.0 0 0 ? S< 21:02 0:00 [events/0]
root 4 0.0 0.0 0 0 ? S< 21:02 0:00 [khelper]
root 5 0.0 0.0 0 0 ? S< 21:02 0:00 [kacpid]
root 20 0.0 0.0 0 0 ? S< 21:02 0:00 [kblockd/0]
root 30 0.0 0.0 0 0 ? S 21:02 0:00 [pdflush]
root 31 0.0 0.0 0 0 ? S 21:02 0:00 [pdflush]
root 33 0.0 0.0 0 0 ? S< 21:02 0:00 [aio/0]
root 21 0.0 0.0 0 0 ? S 21:02 0:00 [khubd]
root 32 0.0 0.0 0 0 ? S 21:02 0:00 [kswapd0]
root 107 0.0 0.0 0 0 ? S 21:02 0:00 [kseriod]
root 181 0.0 0.0 0 0 ? S< 21:03 0:00 [kmirrord]
root 182 0.0 0.0 0 0 ? S< 21:03 0:00 [kmir_mon]
root 190 0.0 0.0 0 0 ? S 21:03 0:00 [kjournald]
root 1085 0.0 0.1 2604 444 ? S<s 21:03 0:00 udevd

root 1611 0.0 0.0 0 0 ? S< 21:03 0:00 [kauditd]
root 1745 0.0 0.0 0 0 ? S< 21:03 0:00 [kmpathd/0]
root 1769 0.0 0.0 0 0 ? S 21:03 0:00 [kjournald]
root 2250 0.0 0.2 2668 632 ? Ss 21:03 0:00 syslogd -m 0
root 2254 0.0 0.1 3352 472 ? Ss 21:03 0:00 klogd -x
rpc 2274 0.0 0.2 2220 572 ? Ss 21:03 0:00 portmap
rpcuser 2294 0.0 0.2 2108 756 ? Ss 21:03 0:00 rpc.statd
root 2322 0.0 0.3 5344 992 ? Ss 21:03 0:00 rpc.idmapd
root 2399 0.0 0.3 2612 816 ? S 21:03 0:00 /usr/sbin/smartd
root 2409 0.0 0.2 3176 540 ? Ss 21:03 0:00 /usr/sbin/acpid
root 2440 0.0 1.4 11192 3680 ? Ss 21:03 0:00 cupsd
root 2497 0.0 0.6 5044 1712 ? Ss 21:03 0:00 /usr/sbin/sshd
root 2526 0.0 0.3 2760 876 ? Ss 21:03 0:00 xinetd -stayalive -pidfile /var/run/xinetd.pid
root 2536 0.0 0.2 1788 528 ? Ss 21:03 0:00 gpm -m /dev/input/mice -t imps2
htt 2565 0.0 0.1 1960 316 ? Ss 21:03 0:00 /usr/sbin/htt -retryonerror 0
htt 2566 0.0 1.1 8256 3024 ? S 21:03 0:00 htt_server -nodaemon
canna 2578 0.0 6.8 19932 17628 ? Ss 21:03 0:00 /usr/sbin/cannaserver -syslog -u canna
root 2590 0.0 0.4 7428 1204 ? Ss 21:03 0:00 crond
xfs 2628 0.0 1.3 5692 3332 ? Ss 21:03 0:00 xfs -droppriv -daemon
root 2638 0.0 0.2 2092 640 ? SNs 21:03 0:00 anacron -s
root 2647 0.0 0.2 3712 740 ? Ss 21:03 0:00 /usr/sbin/atd
dbus 2657 0.0 0.5 13296 1324 ? Ssl 21:03 0:00 dbus-daemon-1 --system
root 2668 0.0 0.4 3156 1040 ? Ss 21:03 0:00 cups-config-daemon
root 2679 0.0 1.7 6540 4424 ? Ss 21:03 0:00 hald
root 2688 0.0 0.5 2916 1288 ? Ss 21:03 0:00 login -- root
root 2689 0.0 0.1 1528 404 tty2 Ss 21:03 0:00 /sbin/mingetty tty2
root 2690 0.0 0.1 2048 404 tty3 Ss 21:03 0:00 /sbin/mingetty tty3
root 2691 0.0 0.1 3488 404 tty4 Ss 21:03 0:00 /sbin/mingetty tty4
root 2692 0.0 0.1 2368 404 tty5 Ss 21:03 0:00 /sbin/mingetty tty5
root 2693 0.0 0.1 3296 404 tty6 Ss 21:03 0:00 /sbin/mingetty tty6
root 3136 0.0 0.5 5920 1396 tty1 Ss 21:05 0:00 -bash

root 3574 0.0 0.8 8400 2276 ? Ss 21:05 0:00 sshd: root@pts/0
root 3576 0.0 0.5 6896 1388 pts/0 Ss 21:05 0:00 -bash
root 3608 0.0 0.4 6584 1216 pts/0 S 21:05 0:00 ntsysv
root 4019 0.0 0.8 8408 2276 ? Rs 21:09 0:00 sshd: root@pts/1
root 4021 0.0 0.5 6912 1388 pts/1 Ss 21:09 0:00 -bash
root 4084 0.0 0.2 2852 748 pts/1 R 21:17 0:00 ps -aux
這些進程,服務,都是開機自動載入的!我們可以用命令來看一下,
[root@tp ~]# ntsysv

那些前面有*號的就是開機自動啟動的服務.也就是說我們開機的話就要同時開啟這麼多的服務.(和我們windows 里的服務是一樣的,沒用的完全可以關了).
我們要掌握一個原則:就是運行的服務越少,肯定系統就越安全.
上面看的是系統開機都會開啟那些服務.那麼那些服務是正在運行的呢?
[root@tp ~]# netstat -an
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 0.0.0.0:32768 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:113 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN
tcp 0 0 :::80 :::* LISTEN
tcp 0 0 :::22 :::* LISTEN
tcp 0 0 :::443 :::* LISTEN
tcp 0 880 ::ffff:192.168.0.1:22 ::ffff:192.168.0.5:2683 ESTABLISHED
udp 0 0 0.0.0.0:32768 0.0.0.0:*
udp 0 0 0.0.0.0:111 0.0.0.0:*
udp 0 0 0.0.0.0:631 0.0.0.0:*
udp 0 0 0.0.0.0:764 0.0.0.0:*
帶有LISTEN的代表正在開啟的埠,開啟的服務.
如果你對linux系統的啟動過程了解的話.(建議先去看看,我以後也會寫的)
我們進入這個目錄
[root@tp ~]# cd /etc/rc.d
[root@tp rc.d]# ls
init.d rc rc0.d rc1.d rc2.d rc3.d rc4.d rc5.d rc6.d rc.local rc.sysinit
如果你的系統是X(圖形化啟動的話)運行級別是5,那就是rc5.d,我的是rc3.d,運行級別是3.(多用戶模式)
是哪個模式就進入哪個目錄,看一下

[root@tp rc.d]# cd rc3.d/
[root@tp rc3.d]# ls
K01yum K16rarpd K35cyrus-imapd K50snmptrapd K84bgpd K96ipmi S13irqbalance S55sshd
K02NetworkManager K20bootparamd K35dhcpd K50tux K84ospf6d K99readahead S13portmap S56rawdevices
K03rhnsd K20netdump-server K35smb K50vsftpd K84ospfd K99readahead_early S14nfslock S56xinetd
K05atd K20nfs K35vncserver K54dovecot K84ripd S00microcode_ctl S15mdmonitor S85gpm
K05innd K20rstatd K35winbind K61ldap K84ripngd S01sysstat S18rpcidmapd S87iiim
K05saslauthd K20rusersd K36dhcp6s K65kadmin K85mdmpd S05kudzu S19rpcgssd S90canna
K10dc_server K20rwhod K36lisa K65kprop K85zebra S06cpuspeed S25netfs S90crond
K10psacct K24irda K36mysqld K65krb524 K87auditd S08arptables_jf S26apmd S95anacron
K10radiusd K25squid K36postgresql K65krb5kdc K87multipathd S08ip6tables S26lm_sensors S97messagebus
K10xfs K28amd K45arpwatch K73ypbind K88opensm S08iptables S28autofs S98cups-config-daemon
K12dc_client K30sendmail K45named K74nscd K89iscsi S09isdn S40smartd S98haldaemon
K12FreeWnn K30spamassassin K46radvd K74ntpd K89netplugd S09pcmcia S44acpid S99local
K12mailman K34dhcrelay K50netdump K74ypserv K90bluetooth S10network S54hpoj
K15httpd K34yppasswdd K50snmpd K74ypxfrd K94diskdump S12syslog S55cups
linux在開機時會讀取/etc/rc.d/rcX.d(根據X的運行級別)
終止K開頭的服務.
開啟S開頭的服務.
我們通過ntsysv命令所做的更改都會在這裡體現出來.
好,現在應該到我們的重點了,就是要開啟那些服務,關閉那些服務.
我把每一個服務都代表什麼寫出來,大家自己根據自己的需要來決定.
amd：自動安裝NFS（網路文件系統）守侯進程
apmd:高級電源管理
Arpwatch：記錄日誌並構建一個在LAN介面上看到的乙太網地址和IP地址對資料庫
atd 運行用戶用At命令調度的任務.也在系統負荷比較低時 運行批處理任務.

Autofs：自動安裝管理進程automount,與NFS相關,依賴於NIS
Bootparamd：引導參數伺服器,為LAN上的無盤工作站提供引導所需的相關信息
crond：Linux下的計劃任務
Dhcpd：啟動一個DHCP（動態IP地址分配）伺服器
Gated：網關路由守候進程,使用動態的OSPF路由選擇協議
gpm gpm為文本模式下的Linux程序如mc(Midnight Commander)提供了
滑鼠的支持.它也支持控制台滑鼠的拷貝,粘貼操作以及彈出式菜單.
Httpd：WEB伺服器
Inetd：支持多種網路服務的核心守候程序
Innd：Usenet新聞伺服器
keytable 該程序的功能是轉載您在/etc/sysconfig/keyboards里說明的鍵盤
映射表,該表可以通過kbdconfig工具進行選 擇.您應該使該程序
處於激活狀態.
ldap LDAP代表Lightweight Directory Access Protocol, 實現了目錄
訪問協議的行業標準.
Linuxconf：允許使用本地WEB伺服器作為用戶介面來配置機器
Lpd：列印伺服器
Mars-nwe：mars-nwe文件和用於Novell的列印伺服器
mcserv Midnight Commander服務進程允許遠程機器上的用戶通過Midnight
Commander文件管理器操作本機文件.服務進程用PAM來驗證用戶,
需要給出「用戶名/口令」以通過驗證
named：DNS伺服器
netfs：安裝NFS、Samba和NetWare網路文件系統
network：激活已配置網路介面的腳本程序
nfs：打開NFS服務
nscd：nscd(Name Switch Cache daemon)伺服器,用於NIS的一個支持服務,它高速緩存用戶口令和組成成員關 系
Pcmcia pcmcia主要用於支持筆記本電腦.
portmap：RPC portmap管理器,與inetd類似,它管理基於RPC服務的連接
postgresql：一種SQL資料庫伺服器
random 保存和恢復系統的高質量隨機數生成器,這些隨機數是系統一些隨
機行為提供的
routed：路由守候進程,使用動態RIP路由選擇協議

rstatd：一個為LAN上的其它機器收集和提供系統信息的守候程序
ruserd：遠程用戶定位服務,這是一個基於RPC的服務,它提供關於當前記錄到LAN上一個機器日誌中的用戶信息
rwalld：激活rpc.rwall服務進程,這是一項基於RPC的服務,允許用戶給每個註冊到LAN機器上的其他終端寫消息
rwhod：激活rwhod服務進程,它支持LAN的rwho和ruptime服務
sendmail：郵件伺服器sendmail
smb：Samba文件共享/列印服務
snmpd：本地簡單網路管理候進程
squid：激活代理伺服器squid
syslog：一個讓系統引導時起動syslog和klogd系統日誌守候進程的腳本Webmin webmin是基於web的集系統管理與網路管理於一身的強大管理工具.利用webmin的強大功能,用戶可以通過web瀏覽器來方便地設置自己的伺服器、dns、samba、nfs、本地/遠程文件系統以及許多其他的系統配置.
xfs：X Window字型伺服器,為本地和遠程X伺服器提供字型集
xntpd：網路時間伺服器
ypbind：為NIS（網路信息系統）客戶機激活ypbind服務進程
yppasswdd：NIS口令伺服器
ypserv：NIS主伺服器
gpm：管滑鼠的
identd：AUTH服務,在提供用戶信息方面與finger類似
可能還有不全的解釋,希望大家能補上.

六、日誌的安全.
我在這裡只講解日誌的安全問題,也就是通過日誌來查看那些可疑的用戶登陸過機器.不會詳細介紹日誌方面的 知識.(關於linux日誌我認為是很重要的東西,作為一名系統維護人員,必須對linux日誌有一定了解.我也會馬上 詳細寫這方面的文章.)
三個重要的日誌文件
/var/log/wtmp 記錄每個用戶登陸和推出時間的永久記錄.
/var/run/utmp 記錄當前登陸到系統的每個用戶信息.
/var/log/lastlog 每個用戶一次登陸的信息(最新的信息)

wtmp和utmp都是二進位文件,它們要用命令來查看內容.
1,命令who,查看utmp文件當前的每個用戶的信息,它默認輸出包括用戶名,終端類型,登陸時間及遠程主機.
如下:
[root@tp log]# who
root pts/0 May 4 22:10 (192.168.0.5)
如果指明了文件,則回顯示自wtmp創建以來所有登陸的用戶信息.
[root@tp log]# who /var/log/wtmp
root tty1 May 4 20:44
root pts/0 May 4 20:52 (211.101.46.195)
root tty1 May 4 21:05
root pts/0 May 4 21:05 (211.101.46.195)
root pts/1 May 4 21:09 (192.168.0.5)
root pts/0 May 4 21:38 (192.168.0.5)
root pts/0 May 4 22:10 (192.168.0.5)
2,命令w,查看utmp文件並顯示當前系統中每個用戶和它所運行的進程信息.
如:
[root@tp log]# w
23:00:48 up 54 min, 1 user, load average: 0.00, 0.00, 0.00
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
root pts/0 192.168.0.5 22:10 0.00s 0.03s 0.00s w
3,users,顯示當前當前登陸的用戶數量.
如,
[root@tp log]# users
root root
這表明兩個root用戶在同時登陸這台機器.
4,last命令,用來顯示wtmp文件第一次 創建以來所有登陸過的用戶.
如:
[root@tp log]# last
root pts/1 192.168.0.5 Fri May 4 23:01 - 23:02 (00:00)
root pts/0 192.168.0.5 Fri May 4 22:10 still logged in
reboot system boot 2.6.9-34.EL Fri May 4 22:07 (00:59)
root pts/0 192.168.0.5 Fri May 4 21:38 - down (00:27)
reboot system boot 2.6.9-34.EL Fri May 4 21:36 (00:29)
root pts/1 192.168.0.5 Fri May 4 21:09 - down (00:25)
root pts/0 211.101.46.195 Fri May 4 21:05 - down (00:29)
root tty1 Fri May 4 21:05 - down (00:30)
reboot system boot 2.6.9-34.EL Fri May 4 21:03 (00:31)
root pts/0 211.101.46.195 Fri May 4 20:52 - crash (00:11)
root tty1 Fri May 4 20:44 - crash (00:18)
reboot system boot 2.6.9-34.EL Fri May 4 20:32 (01:02)
reboot system boot 2.6.9-34.EL Tue May 1 08:32 (3 13:02)

reboot system boot 2.6.9-34.EL Tue May 1 08:27 (3 13:07)
reboot system boot 2.6.9-34.EL Tue May 1 08:24 (3 13:10)
reboot system boot 2.6.9-34.EL Tue May 1 08:13 (3 13:22)
wtmp begins Tue May 1 08:13:04 2007
我們也可以指明用戶,[root@tp log]# last root
root pts/1 192.168.0.5 Fri May 4 23:01 - 23:02 (00:00)
root pts/0 192.168.0.5 Fri May 4 22:10 still logged in
root pts/0 192.168.0.5 Fri May 4 21:38 - down (00:27)
root pts/1 192.168.0.5 Fri May 4 21:09 - down (00:25)
root pts/0 211.101.46.195 Fri May 4 21:05 - down (00:29)
root tty1 Fri May 4 21:05 - down (00:30)
root pts/0 211.101.46.195 Fri May 4 20:52 - crash (00:11)
root tty1 Fri May 4 20:44 - crash (00:18)
wtmp begins Tue May 1 08:13:04 2007
5,命令ac,根據wtmp文件中每個用戶進入和退出時間.(以小時計算),不用參數代表全部
[root@tp log]# ac
total 2.88
[root@tp log]# ac -d 代表每天總連接時間
Today total 2.89
[root@tp log]# ac -p 代表每個用戶總連接時間
root 2.89
total 2.89
我們要養成經常查看日誌來觀察有無可疑用戶等問題的存在. Tags： linux安全

Tags: linux system 系統