Skip to content


linux系统日志没有轮询引起入侵误报

logwatch报告中显示昨天有SSH账号登录并执行了一些维护命令,想想真奇怪这黑客具然上来维护系统.

查看了下最近并没有登录记录
tail -n100 /var/log/secure

注意到/var/log目录下日志文件很大,并且没有.x的轮询文件
ll /var/log

搜索日期确实有登录记录,原来日志中没有记录年份,因为日志没轮询把去年的登录记录当成是昨天的了
cat /var/log/secure |grep ‘Jul 16’

手动运行下logrotate
/etc/cron.daily/logrotate
提示没有uucp这个用户,执行失败(uucp用户之前手功删了)

删除uucp日志后就能正常运行
rm /etc/logrotate.d/uucp

Posted in linux 维护优化, 日志.

Tagged with , .


No Responses (yet)

Stay in touch with the conversation, subscribe to the RSS feed for comments on this post.



Some HTML is OK

or, reply to this post via trackback.