第十章日志与安全管理.pptVIP

本章实训 1、利用service syslog status命令查询syslog服务状态，如果关闭，将其开启。 2、利用 ps –ef|grep syslogd和ps –ef|grep klogd查询日志服务的两个进程的信息。 3、利用cat /etc/syslog.conf命令查看日志配置文件的内容 4、在终端执行tail –f /var/log/messages命令，然后打开一个新的终端窗口执行logger –f /var/log/messages this is a test命令，查看日志文件/var/log/messages内容是否增加 5、利用who命令查询当前登录用户信息；利用last root命令显示root用户登录的相关信息；利用lastlog命令显示所有用户最后一次的登录信息 第10章 日志与安全管理 操作系统日志 　操作系统日志（log）记录了硬件、软件和系统发生的事件，通过日志文件，可以检查错误发生的原因，实时监测系统的状态，检查分析各种攻击企图或追中攻击者的踪迹。 绝大多数的操作系统都有日志记录功能，如windows日志在“管理工具”中的“事件查看器”。 操作系统日志（续） Linux提供了强大的日志记录和管理功能，它是由两个服务进程klogd和syslog两个进程去控制日志，其中klogd负责将内核消息传送给syslog，syslog负责处理守护进程日志、用户程序日志和内核日志。 Linux的日志大体分为：系统日志、登录连接日志、进程统计日志和其他程序日志。 配置管理日志服务 一、日志服务管理 Klogd和syslogd进程的服务名均为syslog，在/etc/rc.d/init.d/syslog可以看到该服务的启动Shell脚本。 1、查询、启动、停止、重启该服务命令 　[root@RHEL5 ~]#service syslog status/start/stop/restart 2、设置syslog服务开机启动命令 [root@RHEL5 ~]#chkconfig –level 2345 syslog on 3、查询当前正在运行Klogd和syslogd进程信息命令 　[root@RHEL5 ~]#ps –ef|grep syslogd [root@RHEL5 ~]#ps –ef|grep klogd 配置管理系统日志 两个守护进程获取到大量的日志，需要将这些日志写到某些日志文件里，通过日志配置文件/etc/syslog.conf实现的。通过设置该配置文件，可以实现将不同类型，不同级别的日志，记录到指定的日志文件中或者将其传递到远程日志服务器。 Syslog.conf中每个配置项是由两列构成，两列之间用tab键隔开，格式为facility.level action; facility代表日志消息来源设备，level代表日志级别， action代表日志消息的去向。 配置管理系统日志（续） 例如：*.info ;mail.none /var/log/messages 表示除mail设备外，将其余设备的info级别以上的日志保存在/var/log/messages 中。 logger命令 利用logger命令可以向日志文件中添加一条日志。 我们利用动态显示命令tail 去验证： [root@RHEL5 ~]#tail –f /var/log/messages [root@RHEL5 ~]#logger –f /var/log/messages testing 登录连接日志与进程统计日志 登录连接日志与进程统计日志不由syslogd进程管理，是由其他的进程负责写入的。 日志文件不能用cat tail more命令查看，只能使用who，last，lastlog等命令查看 1、登录连接日志 登录连接日志存放在/var/log/wtmp,/var/run/utmp和var/log/lastlog中。 utmp文件已记录了登录的每个用户的信息。 Wtmp文件永久记录了每个用户登录、注销以及系统启动、停机等事件。 Lastlog 记录了用户最后一次登录信息 登录连接日志与进程统计日志（续） users，w和ac命令 users显示当前登录的用户，如果该用户登录了多个会话，则显示多条记录。 w 查询当前登录用户的用户名、登录终端、登录主机ip，在线时间以及运行的进程的信息 ac统计用户登录连接的总时间 2、进程统计日志，利用该日志可以追踪每个用户所运行的每条命令。利用history命令即可查看，因此一般我们不使用该日志。 linux安全管理策略 防止主机的非授权直接使用 取消ctrl+alt+del键 使用强用户名