透析Linux日志查入侵
日志对于网络安全来说无疑是非常重要的,它记录了系统每天发生的各种各样的事,你可以通过它来检查错误发生的原因,或者受到攻击后攻击者留下的痕迹.日志主要的功能有审计和监测,同时它也可以实时的监测系统状态,监测入侵者. 日志子系统分类 在Linux系统中,有三个主要的日志子系统: 连接时间日志——由多个程序执行,把纪录写入到/var/log/Wtmp和/var/run/Utmp,Login等程序更新Wtmp和Utmp文件,使系统管理员能够跟踪谁在何时登录到系统. 进程统计——由系统内核执行.当一个进程终止时,为每个进程往进程统计文件(Pacct或Acct)中写一个纪录.进程统计的目的是为系统中的基本服务提供命令使用统计. 错误日志——由Syslogd(8)执行.各种系统守护进程、用户程序和内核通过Syslog(3)向文件/var/log/messages报告值得注意的事件.另外有许多UNIX程序创建日志.像HTTP和FTP这样提供网络服务的服务器也保持详细的日志. 常用的日志文件如下: Access-log:纪录HTTP/WEB的传输. Acct/pacct:纪录用户命令. Aculog:纪录MODEM的活动. Btmp:纪录失败的纪录. Lastlog:纪录最近几次成功登录的事件和 Messages:从Syslog中记录信息(有的链接到Syslog文件). Sudolog:纪录使用Sudo发出的命令. Sulog:纪录“su”的使用. Utmp:纪录当前登录的每个用户. Wtmp:一个用户每次登录进入和退出时间的永久纪录. Xferlog:纪录FTP会话. 日志记录基本过程 Utmp、Wtmp和Lastlog日志文件是多数重用UNIX日志子系统的关键——保持用户登录进入和退出的纪录.有关当前登录用户的信息记录在文件Utmp中;登录进入和退出纪录在文件Wtmp中;
小知识:通常Wtmp在第一天结束后命名为Wtmp.1;第二天后Wtmp.1变为Wtmp.2,直到Wtmp.7. 每次有一个用户登录时,Login程序在文件Lastlog中察看用户的UID.如果找到了,则把用户上次登录、退出时间和主机名写到标准输出中,然后Login程序在Lastlog中纪录新的登录时间.在新的Lastlog纪录写入后,Utmp文件打开并插入用户的Utmp纪录.该纪录一直用到用户登录退出时删除.Utmp文件被各种命令文件使用,包括Who、Users和Finger.下一步,Login程序打开文件Wtmp附加用户的Utmp纪录.当用户登录退出时,具有更新时间戳的同一Utmp纪录附加到文件中.Wtmp文件被程序Last和AC使用. 查看具体日志 Wtmp和Utmp文件都是二进制文件,它们不能被诸如Tail命令剪贴或合并(需要使用Cat命令),用户需要使用Who、W、Users、Last和AC来使用这两个文件包含的信息. 1.Who:该命令查询Utmp文件并报告当前登录的每个用户.Who的缺省输出包括用户名、终端类型、登录日期及远程主机.例如输入Who回车后显示: chyang pts/0 Aug 18 15:06 ynguo pts/2 Aug 18 15:32 ynguo pts/3 Aug 18 13:55 lewis pts/4 Aug 18 13:35 ynguo pts/7 Aug 18 14:12 ylou pts/8 Aug 18 14:15 如果指明了Wtmp文件名,则Who命令查询所有以前的纪录.命令“Who /var/log/Wtmp”将报告从Wtmp文件创建或删改以来的每一次登录. 2.W:该命令查询Utmp文件并显示当前系统中每个用户和它所运行的进程信息. 3.Users:Users用单独的一行显示出当 |
|
凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢! |
一次不成功的登录.
