问在linux中创建了哪些审计日志文件来跟踪用户的活动？

EN

由于您的系统已被破坏，您从该系统获得的任何信息都不能被信任。只有立即发送到外部系统的日志才能被信任(例如实时远程syslog)。这意味着，如果您有一些夜间日志轮转到NFS共享，您不能信任它。

但是，用户可能不会麻烦地掩盖他/她的踪迹，而且您可能仍然可以在系统上获得这些信息。

不幸的是，在默认的Centos/RHEL安装中，日志记录非常少。你基本上被限制在/var/log里闲逛。您应该挖掘的日志取决于在该框上运行的服务。不过，我将从ssh日志开始。之后，查看以根用户形式运行或具有sudo访问权限的任何服务的日志。

如果幸运的话，test11用户可能有一个主目录，其中包含一个.bash_history文件，其中包含了所做事情的历史记录。

此外，由于系统已被破坏到未知用户能够获得根访问的程度，因此必须从头开始重新构建系统。您不能从系统中重用任何东西。将每个文件视为已泄漏。我还建议您不要使用备份，因为您不知道系统是多久前被破坏的。

一旦用户获得根访问权限，就会有无限的后门可以安装。如果是我访问了您的系统，那么简单地删除test11用户和更改root密码都不会让我慢下来。

在未来，你可以做一些事情。

远程测井

如前所述，只有实时远程日志记录才能被信任不被篡改.确保你有这个。

审计

应该安装和使用两个实用程序来监视和审计系统的关键组件。这些是审计%d和奥斯秒。

这两个实用程序操作不同，但目的相同，以监视异常活动。

终端测井

还有一个名为pam_tty_audit的审计工具，它与前面提到的auditd实用程序一起工作。pam_tty_audit是您添加到pam堆栈中的实用工具，它记录跨TTY的所有输入和输出。这意味着如果用户通过交互式ssh访问该框，他们的活动将被记录下来。

但是，请注意，最重要的是要不惜一切代价保护这个日志。这主要是因为密码。当您在提示符下键入密码时，即使您没有看到正在键入的密码，pam_tty_audit模块也会看到它，并将其记录下来。您还可能将cat输出(或以其他方式查看)包含敏感信息的文件，这些文件也将被记录。因此，必须立即将此日志从本地系统传送出去，以便入侵者无法获取该日志，或者必须对其进行加密(并且解密密钥不得在本地系统上)。最好两者都应该执行，发送远程，并加密它。