《Linux系统日志查看》由会员分享,可在线阅读,更多相关《Linux系统日志查看(7页珍藏版)》请在金锄头文库上搜索。
1、Linx系统日记查看Linux系统中的日记子系统对于系统安全来说非常重要,它记录了系统每天发生的多种各样的事情,涉及那些顾客曾经或者正在使用系统,可以通过日记来检查错误发生的因素,更重要的是在系统受到黑客袭击后,日记可以记录下袭击者留下的痕迹,通过查看这些痕迹,系统管理员可以发现黑客袭击的某些手段以及特点,从而可以进行解决工作,为抵御下一次袭击做好准备。在Linux系统中,有三类重要的日记子系统: 连接时间日记: 由多种程序执行,把记录写入到/var/lowtmp和/vr/un/tmp,logn等程序会更新wtmp和ump文献,使系统管理员可以跟踪谁在何时登录到系统。 进程记录: 由系统内核执
2、行,当一种进程终结时,为每个进程往进程记录文献(pacct或acct)中写一种记录。进程记录的目的是为系统中的基本服务提供命令使用记录。错误日记: 由yogd(8)守护程序执行,多种系统守护进程、顾客程序和内核通过sylogd(3)守护程序向文献/vr/omessages报告值得注意的事件。此外有许多n程序创立日记。像和FP这样提供网络服务的服务器也保持具体的日记。iux下日记的使用1基本日记命令的使用up、tmp日记文献是多数Linu日记子系统的核心,它保存了顾客登录进入和退出的记录。有关目前登录顾客的信息记录在文献utm中; 登录进入和退出记录在文献w中; 数据互换、关机以及重启的机器信息
3、也都记录在wtmp文献中。所有的记录都涉及时间戳。时间戳对于日记来说非常重要,由于诸多袭击行为分析都是与时间有极大关系的。这些文献在具有大量顾客的系统中增长十分迅速。例如wtm文献可以无限增长,除非定期截取。许多系统以一天或者一周为单位把wtmp配备成循环使用。它一般由cn运营的脚本来修改,这些脚本重新命名并循环使用wtmp文献。tmp文献被多种命令文献使用,涉及who、user和fnger。而wtp文献被程序last和ac使用。但它们都是二进制文献,不能被诸如tail命令剪贴或合并(使用ca命令)。顾客需要使用who、w、uss、last和a来使用这两个文献涉及的信息。具体用法如下:o命令:
4、 who命令查询utp文献并报告目前登录的每个顾客。h的缺省输出涉及顾客名、终端类型、登录日期及远程主机。使用该命令,系统管理员可以查看目前系统存在哪些不法顾客,从而对其进行审计和解决。例如:运营wo命令显示如下:rooworkig# whoot ts My 9 21:1 (10.0.2128)roopt/1My :16 (10.129)lhwen ts/7 9 2:03 (10.0.2.7)如果指明了文献名,则h命令查询所有此前的记录。例如命令o /var/lo/wtmp将报告自从tmp文献创立或删改以来的每一次登录。日记使用注意事项系统管理人员应当提高警惕,随时注意多种可疑状况,并且准时和
5、随机地检查多种系统日记文献,涉及一般信息日记、网络连接日记、文献传播日记以及顾客登录日记等。在检查这些日记时,要注意与否有不合常理的时间记载。例如: 顾客在非常规的时间登录; 不正常的日记记录,例如日记的残缺不全或者是诸如wp这样的日记文献无端地缺少了中间的记录文献; 顾客登录系统的IP地址和以往的不同样; 顾客登录失败的日记记录,特别是那些多次持续尝试进入失败的日记记录; 非法使用或不合法使用超级顾客权限s的指令; 无端或者非法重新启动各项网络服务的记录。此外, 特别提示管理人员注意的是:日记并不是完全可靠的。高明的黑客在入侵系统后,常常会打扫现场。因此需要综合运用以上的系统命令,全面、综合
6、地进行审查和检测,切忌断章取义,否则很难发现入侵或者做出错误的判断。usrs命令: uses用单独的一行打印出目前登录的顾客,每个显示的顾客名相应一种登录会话。如果一种顾客有不止一种登录会话,那她的顾客名将显示相似的次数。运营该命令将如下所示:rotorkin# usrsrot root/只登录了一种Ro权限的顾客lt命令: last命令往回搜索wtmp来显示自从文献第一次创立以来登录过的顾客。系统管理员可以周期性地对这些顾客的登录状况进行审计和考核,从而发现其中存在的问题,拟定不法顾客,并进行解决。运营该命令,如下所示:rowoing# lstdvn pts/1 10.02.21 Mon l
7、 21 15:08-on(+17:4)devinpt 10.2.221 Mon Jul 14:4 14:53 (0:11)hnyips/2 002141Mon l 21 4:2 14:1 (0:00)in p/0.0.2.21 onJul 11:51 - 14:40 (01:4)root yst boo 2.418 Fi Jul 1:42 (11+:13)ebotystem boo 2.4.18 F Jl 1 1:4 (00:04)reboosytem boot 2.4.18Fri8 5:02 (0:3)读者可以看到,使用上述命令显示的信息太多,辨别度很小。因此,可以通过指明顾客来显示其登录信
8、息即可。例如: 使用ast devn来显示dn的历史登录信息,则如下所示:rowokinglas deindevi p/1 1.0.2.21Mo Jul 5:8- don (8:46)dein ts/1 1.02.2 on ul2 :42 - 14:3 (00:1)a命令:ac命令根据目前的/logwmp文献中的登录进入和退出来报告顾客连接的时间(小时),如果不使用标志,则报告总的时间。此外,可以加某些参数,例如,ast-t 7表达显示上一周的报告。astlog命令ato文献在每次有顾客登录时被查询。可以使用ltl命令检查某特定顾客上次登录的时间,并格式化输出上次登录日记/varlo/lasg
9、的内容。它根据UID排序显示登录名、端标语(tt)和上次登录时间。如果一种顾客从未登录过,lastlog显示“*Neve loge*”。注意需要以root身份运营该命令。运营该命令如下所示:roowoking#astlogUename Port Fom atestrot pt/1 10.0.19二 月10 0:13:680 opa ts1 1.02.29二 月 1010:3:26+080 使用Syslo设备yog已被许多日记函数采纳,被用在许多保护措施中,任何程序都可以通过syslg 记录事件。yslog可以记录系统事件,可以写到一种文献或设备中,或给顾客发送一种信息。它能记录本地事件或通过网
10、络记录另一种主机上的事件。Syog设备核心涉及一种守护进程(etcslog守护进程)和一种配备文献(/tc/syslgcon配备文献)。一般状况下,多数yslo信息被写到/ar/adm或var/log目录下的信息文献中(mssags.*)。一种典型的syslog记录涉及生成程序的名字和一种文本信息。它还涉及一种设备和一种优先级范畴。系统管理员通过使用yslocn文献,可以对生成的日记的位置及其有关信息进行灵活配备,满足应用的需要。例如,如果想把所有邮件消息记录到一种文献中,则做如下操作:#ogllth al mssges i ne placeail.* ar/lg/mlog其她设备也有自己的日
11、记。UUC和news设备能产生许多外部消息。它把这些消息存到自己的日记(var/og/pooe)中并把级别限为”er”或更高。例如:#anes erorof level crt and highe in aspecial file.uu,nescr var/lo/spolr当一种紧急消息到来时,也许想让所有的顾客都得到。也也许想让自己的日记接受并保存。#vrbod gt emrge mesags, plus og th n anh mne*.emr 顾客可以在一行中指明所有的设备。下面的例子把fo或更高档别的消息送到ar/log/messae,除了mil以外。级别”none”严禁一种设备:#o
12、 ying(eceptmail)f evlnf o herDnt logpate authentiatin messages!*f:mail.non;auHriv.none /var/ogmessas在有些状况下,可以把日记送到打印机,这样网络入侵者怎么修改日记都不能清除入侵的痕迹。因此,sysog设备是一种袭击者的明显目的,破坏了它将会使顾客很难发现入侵以及入侵的痕迹,因此要特别注意保护其守护进程以及配备文献。3程序日记的使用许多程序通过维护日记来反映系统的安全状态。su命令容许顾客获得另一种顾客的权限,因此它的安全很重要,它的文献为ulo,同样的尚有udog。此外,诸如Apce等Htp的服务器均有两个日记: acclog(客户端访问日记)以及error_l(服务出错日记)。 FTP服务的日记记录在frog文献当中,Lix下邮件传送服务(senil)的日记一般寄存在aillog文献当中
