日志對(duì)于網(wǎng)絡(luò)安全來說無疑是非常重要的,它記錄了系統(tǒng)每天發(fā)生的各種各樣的事����,你可以通過它來檢查錯(cuò)誤發(fā)生的原因,或者受到攻擊后攻擊者留下的痕跡�����。日志主要的功能有審計(jì)和監(jiān)測(cè),同時(shí)它也可以實(shí)時(shí)的監(jiān)測(cè)系統(tǒng)狀態(tài)����,監(jiān)測(cè)入侵者。
日志子系統(tǒng)分類
在Linux系統(tǒng)中����,有三個(gè)主要的日志子系統(tǒng):
連接時(shí)間日志——由多個(gè)程序執(zhí)行,把紀(jì)錄寫入到/var/log/Wtmp和/var/run/Utmp�����,Login等程序更新Wtmp和Utmp文件����,使系統(tǒng)管理員能夠跟蹤誰在何時(shí)登錄到系統(tǒng)。
進(jìn)程統(tǒng)計(jì)——由系統(tǒng)內(nèi)核執(zhí)行�����。當(dāng)一個(gè)進(jìn)程終止時(shí)�,為每個(gè)進(jìn)程往進(jìn)程統(tǒng)計(jì)文件(Pacct或Acct)中寫一個(gè)紀(jì)錄。進(jìn)程統(tǒng)計(jì)的目的是為系統(tǒng)中的基本服務(wù)提供命令使用統(tǒng)計(jì)�����。
錯(cuò)誤日志——由Syslogd(8)執(zhí)行。各種系統(tǒng)守護(hù)進(jìn)程�、用戶程序和內(nèi)核通過Syslog(3)向文件/var/log/messages報(bào)告值得注意的事件。另外有許多UNIX程序創(chuàng)建日志��。像HTTP和FTP這樣提供網(wǎng)絡(luò)服務(wù)的服務(wù)器也保持詳細(xì)的日志�����。
常用的日志文件如下:
Access-log:紀(jì)錄HTTP/WEB的傳輸��。
Acct/pacct:紀(jì)錄用戶命令�。
Aculog:紀(jì)錄MODEM的活動(dòng)。
Btmp:紀(jì)錄失敗的紀(jì)錄���。
Lastlog:紀(jì)錄最近幾次成功登錄的事件和最后一次不成功的登錄����。
Messages:從Syslog中記錄信息(有的鏈接到Syslog文件)��。
Sudolog:紀(jì)錄使用Sudo發(fā)出的命令����。
Sulog:紀(jì)錄"su"的使用��。
Utmp:紀(jì)錄當(dāng)前登錄的每個(gè)用戶。
Wtmp:一個(gè)用戶每次登錄進(jìn)入和退出時(shí)間的永久紀(jì)錄�。
Xferlog:紀(jì)錄FTP會(huì)話。
日志記錄基本過程
Utmp����、Wtmp和Lastlog日志文件是多數(shù)重用UNIX日志子系統(tǒng)的關(guān)鍵——保持用戶登錄進(jìn)入和退出的紀(jì)錄。有關(guān)當(dāng)前登錄用戶的信息記錄在文件Utmp中��;登錄進(jìn)入和退出紀(jì)錄在文件Wtmp中��;最后一次登錄文件可以用"Lastlog"命令察看����。數(shù)據(jù)交換、關(guān)機(jī)和重起也記錄在Wtmp文件中��。所有的紀(jì)錄都包含時(shí)間戳�。這些文件(Lastlog通常不大)在具有大量用戶的系統(tǒng)中增長(zhǎng)十分迅速。例如Wtmp文件可以無限增長(zhǎng)��,除非定期截取�����。許多系統(tǒng)以一天或者一周為單位把Wtmp配置成循環(huán)使用�。它通常由Cron運(yùn)行的腳本來修改��。這些腳本重新命名并循環(huán)使用Wtmp文件��。
小知識(shí):通常Wtmp在第一天結(jié)束后命名為Wtmp.1����;第二天后Wtmp.1變?yōu)閃tmp.2�����,直到Wtmp.7����。
每次有一個(gè)用戶登錄時(shí),Login程序在文件Lastlog中察看用戶的UID��。如果找到了����,則把用戶上次登錄、退出時(shí)間和主機(jī)名寫到標(biāo)準(zhǔn)輸出中���,然后Login程序在Lastlog中紀(jì)錄新的登錄時(shí)間�。在新的Lastlog紀(jì)錄寫入后�����,Utmp文件打開并插入用戶的Utmp紀(jì)錄��。該紀(jì)錄一直用到用戶登錄退出時(shí)刪除�����。Utmp文件被各種命令文件使用���,包括Who����、Users和Finger���。下一步���,Login程序打開文件Wtmp附加用戶的Utmp紀(jì)錄。當(dāng)用戶登錄退出時(shí)��,具有更新時(shí)間戳的同一Utmp紀(jì)錄附加到文件中��。Wtmp文件被程序Last和AC使用��。
查看具體日志
Wtmp和Utmp文件都是二進(jìn)制文件,它們不能被諸如Tail命令剪貼或合并(需要使用Cat命令)�,用戶需要使用Who、W�����、Users��、Last和AC來使用這兩個(gè)文件包含的信息��。
1.Who:該命令查詢Utmp文件并報(bào)告當(dāng)前登錄的每個(gè)用戶����。Who的缺省輸出包括用戶名、終端類型��、登錄日期及遠(yuǎn)程主機(jī)����。例如輸入Who回車后顯示:
chyang pts/0 Aug 18 15:06
ynguo pts/2 Aug 18 15:32
ynguo pts/3 Aug 18 13:55
lewis pts/4 Aug 18 13:35
ynguo pts/7 Aug 18 14:12
ylou pts/8 Aug 18 14:15
如果指明了Wtmp文件名,則Who命令查詢所有以前的紀(jì)錄�����。命令"Who /var/log/Wtmp"將報(bào)告從Wtmp文件創(chuàng)建或刪改以來的每一次登錄����。
2.W:該命令查詢Utmp文件并顯示當(dāng)前系統(tǒng)中每個(gè)用戶和它所運(yùn)行的進(jìn)程信息�。
3.Users:Users用單獨(dú)的一行顯示出當(dāng)前登錄的用戶��,每個(gè)顯示的用戶名對(duì)應(yīng)一個(gè)登錄會(huì)話�。如果一個(gè)用戶有不止一個(gè)登錄會(huì)話����,那他的用戶名將顯示相同的次數(shù)。例如輸入U(xiǎn)sers回車后顯示:
chyang lewis lewis ylou ynguo ynguo
4.Last:Last命令往回搜索Wtmp�,顯示從文件第一次創(chuàng)建以來登錄過的用戶。例如:
chyang pts/9 202.38.68.242 Tue Aug 1 08:34 - 11:23 (02:49)
cfan pts/6 202.38.64.224 Tue Aug 1 08:33 - 08:48 (00:14)
chyang pts/4 202.38.68.242 Tue Aug 1 08:32 - 12:13 (03:40)
lewis pts/3 202.38.64.233 Tue Aug 1 08:06 - 11:09 (03:03)
lewis pts/2 202.38.64.233 Tue Aug 1 07:56 - 11:09 (03:12)
如果指明了用戶����,那么Last只報(bào)告該用戶的近期活動(dòng),例如:last ynguo顯示:
ynguo pts/4 simba.nic.ustc.e Fri Aug 4 16:50 - 08:20 (15:30)
ynguo pts/4 simba.nic.ustc.e Thu Aug 3 23:55 - 04:40 (04:44)
ynguo pts/11 simba.nic.ustc.e Thu Aug 3 20:45 - 22:02 (01:16)
ynguo pts/0 simba.nic.ustc.e Thu Aug 3 03:17 - 05:42 (02:25)
5.AC:AC命令根據(jù)當(dāng)前的/var/log/Wtmp文件中的登錄進(jìn)入和退出來報(bào)告用戶連結(jié)的時(shí)間(小時(shí))�����,如果不使用標(biāo)志�����,則報(bào)告總的時(shí)間��。例如:ac,顯示:
total 5177.47
ac -d(回車)顯示每天的總的連結(jié)時(shí)間:
Aug 12 total 261.87
Aug 13 total 351.39
Aug 14 total 396.09
Aug 15 total 462.63
Aug 16 total 270.45
ac -p(回車)顯示每個(gè)用戶的總的連接時(shí)間:
ynguo 193.23
yucao 3.35
rong 133.40
hdai 10.52
#p#副標(biāo)題#e#
6.Lastlog:Lastlog文件在每次有用戶登錄時(shí)被查詢��??梢允褂肔astlog命令來檢查某特定用戶上次登錄的時(shí)間,并格式化輸出上次登錄日志/var/log/Lastlog的內(nèi)容��。它根據(jù)UID排序顯示登錄名���、端口號(hào)(tty)和上次登錄時(shí)間�����。例如:
rong 5 202.38.64.187 Fri
Aug 18 15:57:01 +0800 2000
dbb
**Never logged in**
xinchen
**Never logged in**
pb9511
**Never logged in**
小知識(shí):如果一個(gè)用戶從未登錄過��,Lastlog顯示"**Never logged**���。注意這個(gè)命令需要以ROOT權(quán)限運(yùn)行。
另外��,可在命令后加一些參數(shù)實(shí)現(xiàn)其它的功能�,例如"last -u 102"將報(bào)告UID為102的用戶,"last -t 7"表示限制上一周的報(bào)告����。
進(jìn)程審查
UNIX可以跟蹤每個(gè)用戶運(yùn)行的每條命令�,如果想知道昨晚別人弄亂了哪些重要的文件���,進(jìn)程統(tǒng)計(jì)子系統(tǒng)可以告訴你�����,這一點(diǎn)無疑對(duì)跟蹤入侵者很有幫助。與連接時(shí)間日志不同�����,進(jìn)程統(tǒng)計(jì)子系統(tǒng)缺省不激活�,它必須啟動(dòng)。在Linux系統(tǒng)中啟動(dòng)進(jìn)程統(tǒng)計(jì)使用Accton命令����,必須用ROOT身份來運(yùn)行。先使用Touch命令來創(chuàng)建Pacct文件:
touch /var/log/pact
然后運(yùn)行Accton:
Accton /var/log/pact
一旦Accton被激活���,就可以使用Lastcomm命令監(jiān)測(cè)系統(tǒng)中任何時(shí)候執(zhí)行的命令��。若要關(guān)閉統(tǒng)計(jì)��,可以使用不帶任何參數(shù)的Accton命令����。
小知識(shí):Lastcomm命令報(bào)告以前執(zhí)行的文件。不帶參數(shù)時(shí)����,Lastcomm命令顯示當(dāng)前統(tǒng)計(jì)文件生命周期內(nèi)紀(jì)錄的所有命令的有關(guān)信息。包括命令名�����、用戶���、TTY�����、命令耗費(fèi)的CPU時(shí)間和一個(gè)時(shí)間戳����。如果系統(tǒng)有許多用戶����,輸入則可能很長(zhǎng)�。
進(jìn)程統(tǒng)計(jì)存在的一個(gè)問題是Pacct文件可能增長(zhǎng)的十分迅速�����。這時(shí)需要交互式或經(jīng)過Cron機(jī)制運(yùn)行SA命令來保持日志數(shù)據(jù)在系統(tǒng)控制內(nèi)�����。
小知識(shí):SA命令報(bào)告���、清理并維護(hù)進(jìn)程統(tǒng)計(jì)文件��。它能把/var/log/pacct中的信息壓縮到摘要文件/var/log/savacct和/var/log/usracct中。這些摘要包含按命令名和用戶名分類的系統(tǒng)統(tǒng)計(jì)數(shù)據(jù)��。SA缺省情況下先讀它們��,然后讀Pacct文件��,使報(bào)告能包含所有的可用信息�����。SA的輸出有下面一些標(biāo)記項(xiàng):
Avio——每次執(zhí)行的平均I/O操作次數(shù)
Cp——用戶和系統(tǒng)時(shí)間總和����,以分鐘計(jì)
Cpu——和cp一樣
K——內(nèi)核使用的平均CPU時(shí)間����,以1k為單位
K*sec——CPU存儲(chǔ)完整性�����,以1k-core秒
Syslog設(shè)備
Syslog已被許多日志函數(shù)采納�,它用在許多保護(hù)措施中。Syslog可以紀(jì)錄系統(tǒng)事件并寫到一個(gè)文件或設(shè)備中���,或給用戶發(fā)送一個(gè)信息���。它能紀(jì)錄本地事件或通過網(wǎng)絡(luò)紀(jì)錄另一個(gè)主
機(jī)上的事件。
Syslog設(shè)備依據(jù)兩個(gè)重要的文件:/etc/Syslogd(守護(hù)進(jìn)程)和/etc/Syslog.conf配置文件��,習(xí)慣上����,多數(shù)Syslog信息被寫到/var/adm或/var/log目錄下的信息文件(messages.*)中。一個(gè)典型的Syslog紀(jì)錄包括生成程序的名字和一個(gè)文本信息����。它還包括一個(gè)設(shè)備和一個(gè)優(yōu)先級(jí)范圍���,每個(gè)Syslog消息被賦予下面的主要設(shè)備之一:
LOG_AUTH——認(rèn)證系統(tǒng):Login、SU���、Getty等��。
LOG_CRON——Cron守護(hù)進(jìn)程��。
LOG_DAEMON——其它系統(tǒng)守護(hù)進(jìn)程���,如Routed。
LOG_FTP——文件傳輸協(xié)議:Ftpd��、Tftpd��。
LOG_KERN——內(nèi)核產(chǎn)生的消息��。
LOG_MAIL——電子郵件系統(tǒng)�����。
LOG_SYSLOG——由Syslogd(8)產(chǎn)生的內(nèi)部消息����。
LOG_
關(guān)鍵詞標(biāo)簽:Linux日志,入侵
安裝紅帽子RedHat Linux9.0操作系統(tǒng)教程