RedHat9.0登陆IP问题，在线等！

ASKV-UNIX

单位的内部的服务器，今天早上异常关机，重新启动的时候，看见上一次登陆的IP，并不是我自己机器的IP，现在想问的问题是，RedHat9.0下面那个文件是记录登陆者IP地址的，记录文件里，是否记录了。登陆者的IP所对应的的MAC地址。如果记录了MAC地址的话，我大概就能查出是谁登陆了系统。谢谢大家的指教！

[ 本帖最后由 ASKV-UNIX 于 2006-7-19 11:11 编辑 ]

ASKV-UNIX

等待中................

iamshiyu

/var/log/secure
里面应该有成功登入和登入失败的记录，你自己查吧……估计你没改过syslog

me09

/var/log/auth.log
或/root/.bsah_history文件有一切操作痕迹

我爱臭豆腐

建议楼主作一些适当的系统加固.这样能够防治一些不必要的麻烦.
另外可以参考下面的一些内容.希望能够对楼主有帮助

http://www.cublog.cn/u/12/showart.php?id=96404
察看别人在登陆后输入的命令
这个是对过去写的这个脚本的一个更改.加入了HISTDIR这个环境变量.支持了自动添加到/etc/profile中.
备注:由于脚本中使用的都是一些变量.不能保证在别人使用unset的时候能记录下来信息.而且只能进入输入的命令其他的并记录不下来.

1. 
   
2. 
   
3. [root@testpc wanghao]# cat 1.sh
   
4. #!/bin/bash
   
5. cp /etc/profile /etc/profile.back
   
6. cat >>/etc/profile  << "EOF"
   
7. 
   
8. PS1="`whoami`@`hostname`:"'[$PWD]'
   
9. # history
   
10. USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`
    
11. HISTDIR=/var/adm/.hist
    
12. if [ "$USER_IP" = "" ]
    
13. then
    
14.   USER_IP=`hostname`
    
15. fi
    
16. 
    
17. if [ ! -d "$HISTDIR" ]
    
18. then
    
19.    mkdir -p $HISTDIR
    
20.    chmod 777 $HISTDIR
    
21. fi
    
22. 
    
23. if [ ! -d $HISTDIR/${LOGNAME} ]
    
24. then
    
25.     mkdir -p $HISTDIR/${LOGNAME}
    
26.     chmod 300 $HISTDIR/${LOGNAME}
    
27. fi
    
28. 
    
29. export HISTSIZE=4096
    
30. DT=`date "+%Y%m%d_%H%M%S"`
    
31. export HISTFILE="$HISTDIR/${LOGNAME}/${USER_IP}.hist.$DT"
    
32. chmod 600 $HISTDIR/${LOGNAME}/*.hist* 2>/dev/null"
    
33. 
    
34. EOF
    
35. 
    
36. 
    

复制代码

ASKV-UNIX

谢谢大家的解答。我当天找了好久。也没有找到我发的这个帖子。今天找到了。再次感谢各位的帮助。