欢迎来到天天文库
浏览记录
ID:43924355
大小:4.47 MB
页数:176页
时间:2019-10-16
《7 Linux网络安全》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、基础内容介绍案例一及其相关内容案例二及其相关内容课程总结与操作实训课后习题Linux网络安全第七章本章教学目标:掌握Linux日志系统熟悉构建完全的web服务构建安全的电子邮件服务了解系统内核难点:构建安全的Linuxweb服务重点:掌握Linux日志系统构建安全的电子邮件服务关键词:syslog设备Web服务7.1本地访问控制7.1.1日志系统7.1.2syslog设备7.1.3管理日志文件log7.1.4syslog调用接口7.1.1日志系统日志对于安全来说,非常重要,它记录了系统每天发生的各种各样的事情.你可以通过它来检查错误发生的原因,或者受到攻击时攻击者留下的痕迹。日志
2、主要的功能有:审计和监测。它还可以实时的监测系统状态,监测和追踪侵入者等等。1.日志子系统在Linux系统中,有四类主要的日志子系统:连接时间日志--由多个程序执行,把记录写入到/var/log/wtmp和/var/run/utmp,login等程序更新wtmp和utmp文件,使系统管理员能够跟踪谁在何时登录到系统进程统计日志--由系统内核执行。当一个进程终止时,为每个进程往进程统计文件(pacct或acct)中写一个记录。进程统计的目的是为系统中的基本服务提供命令使用统计错误日志—由syslogd(8)执行。各种系统守护进程、内核通过syslogd(3)向文件/var/log/
3、messages报告值得注意的事件。实用程序日志—许多程序通过维护日志来反映系统的安全状态。2.日志文件常用的日志文件如下:access-log记录HTTP/web的传输acct/pacct记录用户命令(进程)secure记录系统安全信息maillog记录每个发送到系统或者从系统发出的电子邮件的活动lastlog记录最近几次成功登录的事件和最后一次不成功的登录messages记录系统运行过程的相关信息,包括I/O、网络等。cron记录cron调度的执行情况sulog记录使用su命令的使用syslog从syslog中记录信息(通常链接到messages文件)utmp记录当前登录的每
4、个用户wtmp一个用户每次登录进入和退出时间的永久记录xferlog记录FTP会话2.日志文件utmp、wtmp和lastlog日志文件是多数LINUX日志子系统的关键--保存用户登录进入和退出的记录。有关当前登录用户的信息记录在文件utmp中;登录进入和退出记录在文件wtmp中;数据交换、关机和重启也记录在wtmp文件中。最后一次登录文件可以用lastlog命令察看。所有的记录都包含时间戳。2.日志文件utmp、wtmp和lastlog日志文件说明这些文件(lastlog通常不大)在具有大量用户的系统中增长十分迅速。例如wtmp文件可以无限增长,除非定期截取。许多系统以一天或者
5、一周为单位把wtmp配置成循环使用。通常由cron运行的脚本来修改。这些脚本重新命名并循环使用wtmp文件。通常,wtmp在第一天结束后命名为wtmp.1;第二天后wtmp.1变为wtmp.2等等,直到wtmp.7。utmp、wtmp和lastlog日志生成原理每次有一个用户登录时,login程序在文件lastlog中察看用户的UID。如果找到了,则把用户上次登录、退出时间和主机名写到标准输出中,然后login程序在lastlog中记录新的登录时间。在新的lastlog记录写入后,utmp文件打开并插入用户的utmp记录。该记录一直用到用户登录退出时删除。utmp文件被各种命令文
6、件使用,包括who、w、users和finger。login程序打开文件wtmp附加用户的utmp记录。当用户登录退出时,具有更新时间戳的同一utmp记录附加到文件中。wtmp文件被程序last和lastlog使用。3.查看日志文件的命令wtmp和utmp文件都是二进制文件,它们不能被诸如tail命令剪贴或合并(使用cat命令)。用户需要使用who、w、users、last来使用这两个文件包含的信息。1.who命令who命令查询utmp文件并报告当前登录的每个用户。who的缺省输出包括用户名、终端类型、登录日期及远程主机。2.usersusers用单独的一行打印出当前登录的用户,
7、每个显示的用户名对应一个登录会话。如果一个用户有不止一个登录会话,那他的用户名将显示相同的次数。3.lastlast命令往回搜索wtmp来显示自从文件第一次创建以来登录过的用户。如果指明了用户,那么last只报告该用户的近期活动。7.1.2syslog设备syslog已被许多日志函数采纳,它用在许多保护措施中--任何程序都可以通过syslog记录事件。yslog可以记录系统事件,可以把事件写到一个文件或设备中,或给用户发送一个信息。它能记录本地事件或通过网络记录另一个主机上的事件
此文档下载收益归作者所有