返回
solaris日志记录介绍

solaris日志记录介绍

ID:22377297

大小:58.50 KB

页数:6页

时间:2018-10-28

solaris日志记录介绍_第1页
solaris日志记录介绍_第2页
solaris日志记录介绍_第3页
solaris日志记录介绍_第4页
solaris日志记录介绍_第5页
资源描述:

《solaris日志记录介绍》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、Solaris日志记录介绍  假设你是一位使用solaris操作系统的网站管理员,有一天你无意中在你硬盘/var/adm目录下messages文件中看到了如下类似内容:Apr2420:31:04nmssa/usr/dt/bin/rpc.ttdbserverd[405]:_Tt_file_system::findBestMountPoint--max_match_entryisnull,abortingApr2420:31:05nmssaid[140]:/usr/dt/bin/rpc.ttdbser

2、verd:SegmentationFault-coredumped知道这意味着什么吗?你的系统已有至少99%的可能性被侵入!  目前使用solaris的系统管理员都知道在/var区下有个目录adm,在这个目录下有messags,syslog,sulog,utmp等诸多日志文件,它们记录着solaris系统产生的各种消息日志。从系统管理员的角度来讲,清楚的理解各个日志文件的功能及作用是很有必要的,在系统发生安全问题时,这些日志纪录可以在一定意义上起到帮助和诊断作用。  我们来依次看看Adm目录下的主

3、要文件。adm/messags我们先来看最为重要的messages文件,messages记载来自系统核心的各种运行日志,包括各种精灵,如认证,id等进程的消息及系统特殊状态,如温度超高等的系统消息,可以说它是系统最重要的日志之一。messages可以记载的内容是由/etc/syslog.conf决定的,有兴趣的读者可以使用mansyslog.conf命令来做一个详细了解,这里就不介绍了。就安全的角度来讲,目前互联网上入侵者采用的手段大多数是利用系统的漏洞,而当入侵者试图利用漏洞对你的服务器进行攻击

4、时,在服务器的messages文件中一般会留下一些异常的内容,如本文最开始描述的部分,就是目前互联网上入侵者使用rpc.ttdbserver漏洞攻击所留下的痕迹,它是solaris最为臭名昭著的一个系统漏洞,入侵者利用这个漏洞可以轻松的从远端得到超级用户权限,但这种攻击不是干净的入侵攻击,它会在messages下留下记录,同时会在根目录下生成core文件,如果细心的管理员经常检查系统日志,是不难发现有入侵者或入侵企图的,又比如下面的纪录:Apr2411:26:25unix.secu.ftpd[72

5、61]:anonymous(bogus)LOGINFAILED[from11.22.33.46]Apr2411:27:23unix.secu.ftpd[7264]:163(bogus)LOGINFAILED[from11.22.33.49]Apr2411:28:44unix.secu.ftpd[7265]:abc(bogus)LOGINFAILED[from11.22.33.46]管理员可以从上述纪录中可以清楚看到在24日11点26,11点27,11点28分有可疑用户在猜主机的ftp口令,它们的i

6、p分别是11.22.33.46和11.22.33.49。adm/sulogsulog中记载着普通用户尝试su成为其它用户的纪录。它的格式为:发生时间+/-(成功/失败)pts号当前用户欲su成的用户  我们截取一部分实际内容,来看一下:SU04/1516:35+pts/6yiming-rootSU04/1516:43+pts/4root-yimingSU04/1708:20-pts/5cheny-rootSU04/1816:36-pts/4cheny-rootSU04/1902:57+pts/11

7、lizhao-rootSU04/1919:57+pts/11cys-rootSU04/2108:20-pts/4cheny-rootSU04/2116:36-pts/8cheny-rootSU04/2215:23-pts/5cheny-root对管理员来讲,需要密切关注两种用户,第一是反复su失败的,如以上cheny用户,他有猜超级用户口令的嫌疑。第二是在不正常时间的su纪录,如上述第六行用户lizhao,随然他正确的输入了口令(在第四列中有+号)但02:57分这个时间比较可疑,这是一个管理员不大

8、可能工作的时间,要知道,入侵者可能安装过sniffer之类的软件,并利用它窃取到了超级用户口令,为了进一步做工作,如窃取主机敏感数据,入侵者需要进行比较复杂的操作,但在白天这个系统管理员活动的时间被发现的可能性是比较大的,所以即使入侵者得到了高权限的密码,一般也会选择深夜等管理员一般不工作的时间。这些时候没有人会抓他。  adm/utmp,utmpx  这两个文件是不具可读性的,它们记录着当前登录在主机上的用户,管理员可以用ingpts/29Jun1209:24(11.22.33.

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。