在Linux系统中,使用telnet服务时,可以通过配置系统日志来记录telnet的登录和操作日志。以下是一些常见的方法:
/etc/pam.d/telnet编辑PAM配置文件:
打开/etc/pam.d/telnet文件,添加以下行来启用PAM日志记录:
auth required pam_tally2.so onerr=fail deny=5 unlock_time=600
account required pam_tally2.so
session required pam_tally2.so
配置系统日志:
确保/etc/rsyslog.conf或/etc/rsyslog.d/50-default.conf中包含以下行,以便记录PAM日志:
auth,authpriv.* /var/log/auth.log
重启rsyslog服务:
sudo systemctl restart rsyslog
/etc/xinetd.d/telnet如果你使用的是xinetd来管理telnet服务,可以编辑/etc/xinetd.d/telnet文件,添加日志记录选项。
编辑xinetd配置文件:
打开/etc/xinetd.d/telnet文件,添加或修改以下行:
server_args = -l
log_on_success += HOST
log_on_failure += HOST
重启xinetd服务:
sudo systemctl restart xinetd
tcpd如果你使用的是tcpd来管理telnet服务,可以编辑/etc/hosts.deny和/etc/hosts.allow文件,并配置日志记录。
编辑hosts.deny文件:
打开/etc/hosts.deny文件,添加以下行:
telnetd: ALL
编辑hosts.allow文件:
打开/etc/hosts.allow文件,添加以下行:
telnetd: localhost
配置tcpd日志:
确保/etc/sysconfig/tcpd文件中包含以下行,以便记录tcpd日志:
LOGFILE=/var/log/tcpd.log
重启tcpd服务:
sudo systemctl restart tcpd
auditd如果你需要更详细的审计日志,可以使用auditd来监控telnet服务。
安装auditd:
sudo apt-get install auditd audispd-plugins
配置auditd:
编辑/etc/audit/audit.rules文件,添加以下规则:
-a exit,always -F arch=b32 -S socket -S accept -F auid!=unset -F auid!=4294967295 -k telnet
-a exit,always -F arch=b64 -S socket -S accept -F auid!=unset -F auid!=4294967295 -k telnet
重启auditd服务:
sudo systemctl restart auditd
通过以上方法,你可以有效地记录Linux系统中telnet服务的日志,以便进行安全审计和故障排查。
