计算机病毒和入检测 实验报告三.docxVIP

计算机病毒和入侵检测 实验报告三 ??? 首先使用“快照X”恢复Linux系统环境。一．查看连接时间日志??? 连接时间日志是保持用户登录进入和退出时间的文件。1. 查看系统已登录用户（使用工具查看/var/run/utmp日志）??? （1）进入实验平台，单击工具栏“控制台”按钮进入工作目录。输入命令：w，查看系统已登录用户。显示信息如图4-4-1所示。 显示信息第一行是汇总信息，包括系统当前时间、系统启动到现在的时间、登录用户数目、系统在最近1秒、5秒和15秒的平均负载。??? 其后每行显示的是每个用户的各项数据，其中包括：登录帐号、登录终端名称，远程主机名称，登录时间、空闲时间，JCPU、PCPU、当前正在运行的命令行。其中JCPU时间指的是和该终端(tty)连接的所有进程占用的时间。这个时间里并不包括过去的后台作业时间，但却包括当前正在运行的后台作业所占用的时间。而PCPU时间则是指当前进程所占用的时间。??? （2）同组主机telnet登录本机（用户名：guest；口令：guestpass），本机再次通过w命令查看系统已登录用户。??? （3）与“w”命令功能相似的命令还有“who”、“users”命令，请在控制台中运行这两个命令并查看运行结果与“w”命令的异同。 第一题的三个小题的实验结果截图2. 查看登录用户历史（使用工具查看/var/log/wtmp日志）??? （1）在控制台中输入命令：last，查看近期用户或终端的登录情况。显示信息如图4-4-2所示。 图4-4-2? 登录用户历史 ??? 显示信息中包括用户登录时间。如果关心某一个用户的登录历史，可以在“last”命令后面加上用户名参数，上例中使用“last root”命令就会得到关于用户root的登录信息。??? （2）在实验中我们会发现，last命令会列出好多用户登录历史，这样不利于我们查找，有时候我们只希望打印出最近的用户登录历史，选项n用来打印出最近的n个用户的登录历史，在控制台输入命令：last -n 5，能够得到最近5个用户的登录历史。3. 查看用户的上一次登录历史（使用工具查看/var/log/lastlog日志）??? 在控制台输入命令：lastlog，查看所有用户的最近登录情况，如图4-4-3所示。 图4-4-3 用户登录历史 显示信息表明用户guest上一次登录时间是2008年1月17日18：43：30，而用户gdm从来没有登录过。4．查看当前用户使用过的命令（查看bash_history）??? （1）在控制台中输入命令：touch new-file.txt，新建文件new-file.txt。??? （2）关闭当前控制台，重新打开一新控制台，进入当前用户主目录，而后继续输入命令：cat .bash_history， 查看当前用户使用过的命令。二．查看系统服务日志1. http日志查看（查看/var/log/httpd/目录下日志）??? （1）首先进入http服务日志所在目录/var/log/httpd/，若日志文件access_log存在，将其内容清空，可通过命令：echo /var/log/httpd/access_log实现。??? （2）请同组主机访问本机Web服务。??? （3）本机再次查看access_log日志内容。2. ftp日志查看（查看/var/log/xferlog日志）??? 按照1中的实验步骤，同组主机访问本机FTP服务，查看xferlog日志内容。 三．文件完整性检查??? 对Linux文件系统中的任何文件进行完整性检查，以此确定文件是否被更改过。这里我们以用户口令文件/etc/passwd为例，通过系统工具md5sum来实现对该文件的完整性检查。??? （1）使用md5sum对/etc/passwd文件生成摘要，具体命令如下：md5sum /etc/passwd md5result，其中md5result为自定义的文件名。??? （2）在passwd未做任何变动的情况下，对该文件进行完整性检查，具体命令如下：md5sum -c md5result，其中参数-c md5result表示从md5result文件中读取源文件摘要，并进行文件完整性检查。??? 若passwd文件无变动（生成摘要到当前时间段内），则会出现“passwd: OK”的信息提示。??? （3）使用vim编辑器编辑/etc/passwd，对文件进行任意改动，存盘退出(先按esc键,接着键入“:wq”回车)。??? 「注」 关于passwd文件的更多解释见实验五｜练习一｜任务二。??? 对passwd文件进行完整性检查，由于passwd已被修改过，所以检查后的信息提