在Ubuntu系统中,使用deluser命令删除用户后,可以通过以下几种方法来监控系统状态和日志,以确保没有异常行为或潜在的安全问题:
系统日志文件通常位于/var/log目录下。你可以查看以下日志文件来获取有关用户删除操作的信息:
auth.log: 记录了所有与认证相关的事件。
sudo tail -f /var/log/auth.log | grep 'deluser'
syslog: 记录了系统的各种事件。
sudo tail -f /var/log/syslog | grep 'deluser'
auditd进行审计auditd是一个强大的审计工具,可以记录系统中的各种活动。你可以通过配置auditd来监控用户删除操作。
auditdsudo apt-get install auditd audispd-plugins
编辑/etc/audit/rules.d/audit.rules文件,添加以下规则:
-a exit,always -F arch=b32 -S deluser -k user_deletion
-a exit,always -F arch=b64 -S deluser -k user_deletion
auditd服务sudo systemctl restart auditd
sudo ausearch -k user_deletion
你可以使用inotifywait工具来监控文件和目录的变化,包括用户主目录的删除。
inotify-toolssudo apt-get install inotify-tools
sudo inotifywait -m -r -e delete --format '%w%f' /home | while read FILE
do
echo "File deleted: $FILE"
done
fail2ban防止暴力破解虽然fail2ban主要用于防止暴力破解,但它也可以帮助你监控和阻止可疑活动。
fail2bansudo apt-get install fail2ban
fail2ban编辑/etc/fail2ban/jail.local文件,添加以下内容:
[DEFAULT]
bantime = 600
findtime = 600
maxretry = 3
[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
banaction = iptables-multiport
fail2ban服务sudo systemctl restart fail2ban
通过以上方法,你可以有效地监控Ubuntu系统中用户删除操作及其相关活动,确保系统的安全性和稳定性。
亿速云「云服务器」,即开即用、新一代英特尔至强铂金CPU、三副本存储NVMe SSD云盘,价格低至29元/月。点击查看>>
相关推荐:Ubuntu deluser操作指南