| 关键词: 日志 文件 log lastlog Last 时间 用户 命令 信息 服务器 |
Linux安全概述3――linux日志 --------------------------------------------------------------------------------发布者:gouy2k 来源: 类别:原创天地 日期:02-23 今日/总浏览: 13/373 Linux安全概述3――linux日志 By gouy2k www.s8s8.net 如果你是linux的初级用户,你很可能不熟悉linux日志。简单的说,日志就是操作系统或应用程序记录所发生的时间并保存这些记录供日后使用的过程。日志可以提供以下的记录: l 程序是否出错,以及出错的时间和原因 l 谁使用了程序,以及使用的时间 l 程序的UID和PID l 程序是否按要求的方式执行了任务 日志最重要的一个功能就是用于安全问题方面的功能.他将保存攻击者攻击者的行为记录。 日志在linux下的应用很普遍,被广泛应用与操作系统,应用程序以及协议级别。大多数linux服务会把日志信息输出到标准的甚至是共享的日志文件中。 这些日志大部分都位于/var/log.接下来我们来认识一下以下的文件以及工具 lastlog lastlog跟踪用户登陆的情况,可以解释为: lastlog格式化并打印最后的登陆日志/var/log/lastlog.它打印登陆名,端口,和最后的登陆时间。默认情况下将以UID顺序打印lastlog条目。 默认时,lastlog报告列于/etc/passwd的所有用户 [gouy2k@ssmetana log]$ lastlog 也可以使用-u命令行单独挑选特定的用户 $lostlog –u –user lasrlog从/var/lag/lastlog中抽取的信息。但不象其它日志,lastlog中的条目仅是临时信息。因此应该采取措施每天保存。 Last Last是报告最后的用户信息。解释为: Last搜索整个/var/log/wump文件来显示改文件创建以来的用户登陆和注册的信息列表。 它报告的数据包括: l 用户 l 登陆中端 l 在指定会话期的ip地址 l 日期和实间 l 会话持续时间 [gouy2k@smetana log]$ last 我们也可以抽取特定的相关用户 [gouy2k@smetana log]$ last root last还支持多命令选项 -a 选项指定last应该在最后一字段显示主机名 -d 指定last不仅显示目标主机名,也显示其ip地址 -n 指定last因该输出的行数 -num 指定last应该输出的行数 -R 指定last应在输出中省略的主机字段 -x 指定last应显示系统重新引导和运行级别变化的信息 当然,last最重要的一个用处是在于安全方面的价值,它可以帮你调查入侵事件。我们可以使用last命令扑捉入侵者的真实ip和进程。 当然,入侵者不是笨蛋,它们相当清楚/var/log/lastlog和/var/log/wtmp可以暴露它们的行踪。因此它们会利用一些sweeper和cleaner来清楚这些日志。 比如说:utclean, cloak,wzap等等。 为了防止这些高手窜改你的日志,我们还得有两手准备。就是至少使用一种第三方日志工具。好处是第一,知道你运用了特殊日志工具的人不多。第二,这类工具的独立倒出自己的日志。 或者还可以隔离日志防止窜改。比如建立独立的日志服务器。不过代价比较高哦,呵呵。 Xferlog 用以记录ftp文件传输,解释为: xferlog文件包含有ftp服务器守护程序ftpd(8)所生成的日志信息。改文件通常位于/usr/adm下,但通过ftpd(8)中的选项可以将它位于任何位置。 输出字段包包括: l 当前时间 l 文件传输持续时间 l 远程主机信息 l 被传输文件大小 l 文件名称 l 传输类型 l 发生的任何特殊操作 l 传输方向 l 访问模式 l 用户名 l 服务 l 认证方式 l 认证用户id 用以下命令实现 [root@pointy gouy2k]# more /var/log/xferlog httpd日志 Apache服务器日志进程httpd,通常保存在/var/log/httpd/apach下的两个文件 Access_log 保存有一般的访问信息:谁连接乐服务器,何时,何种方式,执行乐那些操作 其保存下列值 l 访问者ip l 事件发生日期时间 l 命令或请求 l 状态码 命令格式为 $more access_log Error_log 保存访问错误 其保存有下列字段 l 日期和时间 l 错误类型 l 产生原因 l 服务 l 采取措施 命令格式为 $more error_log Apache允许使用LogFormat指令定制httpd日志,这里不做详细解释。 Samba 如果系统位于多操作系统环境,我们就可能会运行samba服务器软件来维持同windows同类的协调性,在检查系统时应该检查samba日志。这是日常管理必要的。 RedHat 7.x的samba日志位于/var/log/samba目录,有三个日志文件 1. log.mb-netbios服务日志。如果把samba作为wins服务器用,那么你就应该偶尔检查一下改文件。 2. log.smb-samba服务器的一般日志。在这里可以检查失败的连接尝试以及其它问题。 3. log.hostname-这是针对计算机而生成的日志。如果有机器设法建立一个对你的服务器的连接,系统就会为这台机器生车工一个日志文件。 要注意的是,根据系统配置的不同,你可能回注意到在samba目录下积累乐一堆workstion.log文件。如果远程机器设法连接到你的计算机并浏览乐可用的共享,系统就会生成一个日志文件。然而,这并不意味那台机器可以访问任何共享。在访问被拒绝的情况下,你就回看到为那台机器所创建的包括access denied信息的日志文件就越积越多。如果你不想看多这些烦人的日志,那么可以在samba服务器级别来堵住这些烦人的地址的通信。要达到这个目的,可以在smb.conf文件中使用hosts allow或hosts deny命令。 关于系统和内核的消息 系统和内核的消息由两个程序负责处理: syslogf-记录许多程序都使用的日志类型。Syslogd所扑捉的典型值包括程序名,工具类型,优先级和储存记录消息。 Klogd-截取并记录内核消息。 要查看这两个日志的运行,必须借助于/var/log/messages (转载请著名作者和出处) 发布者: gouy2k 来源: 文章版权归原作者所有, 未经允许请勿转载, 如有任何问题请联系我们. |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|