返回
Linux入侵日志检测研究专题

Linux入侵日志检测研究专题

ID:46549419

大小:92.50 KB

页数:10页

时间:2019-11-25

Linux入侵日志检测研究专题_第1页
Linux入侵日志检测研究专题_第2页
Linux入侵日志检测研究专题_第3页
Linux入侵日志检测研究专题_第4页
Linux入侵日志检测研究专题_第5页
资源描述:

《Linux入侵日志检测研究专题》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、Linux入侵日志检测研究专题南通公司工程维护部Linux日志系统中记录了每天发生的各种各样的事件,包括用户正常和非正常的登录情况,Linux的日志系统对于系统安全来说非常重要,通过分析日志可以了解错误发生的原因,对于排查系统错误有很大的帮助;更重要的是在系统受到黑客攻击后,日志中会留下攻击者的痕迹,通过分析这些痕迹,系统管理员可以发现黑客攻击的某些手段以及特点,甚至可以了解黑客攻击使用的地址以及其他信息,从而能够针对性的进行处理,更好地抵御下一次攻击。Linux系统中,日志系统主要分为三类:•系统接入日志:多个程序会记录该

2、日志,记录到/var/log/wtmp和/var/run/utmp文件中,telnet、ssh等程序会更新wtmp和utmp文件,系统管理员可以根据该日志跟踪到谁在何时登录到系统。•进程统计日志:Linux内核记录该日志,当一个进程终止时,进程统计文件(pacct或acct)中会进行记录。进程统计日志可以供系统管理员分析系统使用者对系统进行的配置,以及对文件进行的操作。•错误日志:Syslog0志系统已经被许多设备兼容,Linux的syslog可以记录系统事件,主要由syslogd程序执行,Linux系统下各种进程、用户程序

3、和内核都可以通过Syslog文件记录重要信息,错误日志记录在/var/log/messages中。有许多Linux/Unix程序创建日志。像HTTP和FTP这样提供网络服务的服务器也保持详细的日志。1Linux下日志的使用1.1基本日志命令的使用Linux系统中记录用户登入登出情况的文件是wtmp文件,记录当前登录用户情况的文件是utmp文件,它们是Linux系统安全的重要文件。这两个文件中所有的日志都记录了准确的时间。日志中记录的时间是非常重要的,因为很多攻击行为分析都是与时间有极大关系的。Utmp以及wtmp文件都是二进

4、制文件,不能通过tail,cat,vi或者重定向进行编辑。系统管理员需要通过命令获取这两个文件中包含的信息,其中utmp文件中包含的信息可以通过who、w、users和finger获取,wtmp文件中包含的信息可以通过last和ac获取。具体用法如下:who命令从utmp文件中查询当前登录的用户情况。缺省情况下who的输出包括登录使用用户名、登录日期及登录使用IPo通过该命令,系统管理员可以发现当前系统存在哪些不法用户,找到非法使用用户后可以通过多种手段限制该用户或者该登录IP继续使用服务器。下面是who命令运行显示情况:[

5、rootaJntbak]#whorootttyl2011-03-2116:59rootpts/02011-06-1419:06(10.35.117.80)rootpts/22011-03-1314:21(:1.0)在指明Wtmp情况下,通过who命令可以查询到所有以前的记录。下面是命令who/var/log/wtmp的运行结果,显示了自从wtmp文件创建、删改以来的每一次登录。[roota)ntbak]#who/var/log/wtmpntbackuppts/0rootpts/3rootpts/3ntbackuppts/0n

6、tbackuppts/0ntbackuppts/3ntbackuppts/0ntbackuppts/4ntbackuppts/5ntbackuppts/0rootpts/0ntbackuppts/0ntbackuppts/0ntbackuppts/0ntbackuppts/3ntbackuppts/4ntbackuppts/0ntbackuppts/0rootpts/02011-06-0314:182011-06-0315:242011-06-0315:482011-06-0317:152011-06-0710:152011

7、-06-0710:262011-06-0710:452011-06-0712:432011-06-0713:412011-06-0715:412011-06-0721:122011-06-0810:392011-06-0919:432011-06-1008:242011-06-1008:342011-06-1010:252011-06-1012:342011-06-1308:342011-06-1315:42(10.35.8.242)(10.35.117.80)(10.35.117.80)(10.35.8.242)(10.3

8、5.117.73)(10.35.117.73)(10.35.117.73)(10.35.117.73)(10.35.117.73)(10.35.117.73)(10.32.171.146)(10.35.117.73)(10.35.117.73)(10.35.117.73)(10.35.11

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。