文档介绍：使用日志系统保护 Linux 安全使用日志系统保护 Linux 安全作者:李洋计算机世界(2005-06-24 13:48:42) 本文主要讲述如何使用 Linux 系统中的日志子系统及其命令, 来更好地保护系统安全。 Linux 系统中的日志子系统对于系统安全来说非常重要, 它记录了系统每天发生的各种各样的事情,包括那些用户曾经或者正在使用系统, 可以通过日志来检查错误发生的原因, 更重要的是在系统受到黑客攻击后,日志可以记录下攻击者留下的痕迹,通过查看这些痕迹, 系统管理员可以发现黑客攻击的某些手段以及特点, 从而能够进行处理工作,为抵御下一次攻击做好准备。在 Linux 系统中,有三类主要的日志子系统: ●连接时间日志: 由多个程序执行,把记录写入到/var/log/wtm p 和/var/run/utmp , login 等程序会更新 wtmp 和 utmp 文件,使系统管理员能够跟踪谁在何时登录到系统。●进程统计: 由系统内核执行,当一个进程终止时,为每个进程往进程统计文件( t 或 acct ) 中写一个记录。进程统计的目的是为系统中的基本服务提供命令使用统计。●错误日志:由 syslogd (8 )守护程序执行,各种系统守护进程、用户程序和内核通过 syslogd (3) 守护程序向文件/var/log/message s 报告值得注意的事件。另外有许多 Unix 程序创建日志。像 HTTP 和 FTP 这样提供网络服务的服务器也保持详细的日志。 Linux 下日志的使用 1 .基本日志命令的使用 utmp 、 wtmp 日志文件是多数 Linux 日志子系统的关键,它保存了用户登录进入和退出的记录。有关当前登录用户的信息记录在文件 utm p 中; 登录进入和退出记录在文件 wtmp 中; 数据交换、关机以及重启的机器信息也都记录在 wtmp 文件中。所有的记录都包含时间戳。时间戳对于日志来说非常重要, 因为很多攻击行为分析都是与时间有极大关系的。这些文件在具有大量用户的系统中增长十分迅速。例如 wtmp 文件可以无限增长,除非定期截取。许多系统以一天或者一周为单位把 wtmp 配置成循环使用。它通常由 cron 运行的脚本来修改, 这些脚本重新命名并循环使用 wtmp 文件。 utmp 文件被各种命令文件使用,包括 who 、w、 users 和 finger 。而 wtmp 文件被程序 last 和 ac 使用。但它们都是二进制文件,不能被诸如 tail 命令剪贴或合并( 使用 cat 命令)。用户需要使用 who 、w、 users 、 last 和 ac 来使用这两个文件包含的信息。具体用法如下: who 命令: who 命令查询 utmp 文件并报告当前登录的每个用户。 Who 的缺省输出包括用户名、终端类型、登录日期及远程主机。使用该命令, 系统管理员可以查看当前系统存在哪些不法用户, 从而对其进行审计和处理。例如: 运行 who 命令显示如下: [******@working]# who root pts/0 May 9 21:11 () root pts/1 May 9 21:16 () lhwen pts/7 May 9 22:03 () 如果指明了 wtmp 文