第10章 Linux日志与安全管理概要1.pptVIP

回 顾 上 一 章 内 容 总结 本章重点、难点 课后习题、实训 第10章 Linux日志与安全管理 10.1 Linux日志管理 　1．日志的作用 　利用日志文件，可检查错误发生的原因，实时监测系统的状态，检查分析各种攻击企图或追踪攻击者的踪迹。对日志文件进行分析，是系统安全检测的重要内容，同时也是计算机犯罪取证的重要依据。 10.1.1 Linux日志系统简介 10.1.1 Linux日志系统简介 　在Linux系统中，有两个服务进程在控制日志，分别是klogd和syslogd。 　klogd为内核日志守护进程，负责接收来自内核的消息，然后将内核消息传递给syslogd守护进程进行记录处理。syslogd守护进程负责处理系统守护进程日志、用户程序日志和内核日志。 2．日志系统简介 10.1.1 Linux日志系统简介 　Linux日志处理流程 2．日志系统简介 10.1.2 配置管理日志服务 　klogd和syslogd守护进程的启动脚本为/etc/rc.d/init.d/syslog，通过该启动脚本，可实现对日志服务的管理。 ⑴ 查询服务进程是否已启动 ① 通过查询syslog服务的运行状态来实现 命令：service syslog status或/etc/rc.d/init.d/syslog status syslogd(pid 1704)正在运行... klogd(pid 1707)正在运行... 1．日志服务的管理 10.1.2 配置管理日志服务 ② 通过执行“ps -ef”命令来查询 [root@RHEL5 ~]#ps -ef |grep syslogd [root@RHEL5 ~]#ps -ef |grep klogd ⑵ syslog服务的启动与停止 启动syslog服务：service syslog start或/etc/rc.d/init.d/syslog start 停止syslog服务：service syslog stop或/etc/rc.d/init.d/syslog stop 重启syslog服务：service syslog restart或/etc/rc.d/init.d/syslog restart 1．日志服务的管理 10.1.2 配置管理日志服务 ⑶ 设置syslog服务的自启动状态 默认情况下，syslog服务在运行级别为2、3、4、5都会自动启动。若要在某个或某些运行级别不自动启动或要自动启动，可通过chkconfig命令来进行配置。 1．日志服务的管理 10.1.2 配置管理日志服务 　通过修改syslogd和klogd程序的启动参数，可改变syslogd和klogd进程的服务状态和功能，启动参数可通过/etc/sysconfig/syslog配置文件来设置或修改。 　若要让当前主机成为一个日志记录服务器，使其除了能记录本机的日志外，还可记录远程主机传递来的日志消息，此时就要修改该配置文件，为syslogd守护进程增加使用“-r” 参数，即将以下配置项 SYSLOGD_OPTIONS=-m 0 修改为：SYSLOGD_OPTIONS=-r -m 0 2．配置日志服务进程的启动参数 10.1.2 配置管理日志服务 　增加“-r”功能参数后，syslogd守护进程就会侦听UDP 514号端口，并从该端口获得远程主机传递来的日志消息，并根据/etc/syslog.conf配置文件的指令要求，对日志消息进行相应处理。 　修改/etc/sysconfig/syslog配置文件后，需要重启syslog服务才能生效。 　若要实现转发日志功能，还应增加使用“-h”参数。 2．配置日志服务进程的启动参数 10.1.3 配置管理系统日志 　syslogd守护进程的日志配置文件为/etc/syslog.conf。利用该配置文件，可实现将不同类型、不同级别的消息，记录到指定的日志文件中，或者将其传递给一个远程日志服务器。 1．系统日志配置文件简介 10.1.3 配置管理系统日志 ⑴ 配置项表达规则 配置项格式：facility.level action facility代表日志消息的来源设备；level代表日志的级别，日志级别指示消息的紧急程度。日志设备与日志级别之间用“.”分隔，可以使用“*”来匹配所有的设备或所有的日志级别。比如，kern.*代表内核的所有日志消息；*.emerg代表所有优先级为emerg的日志消息。 2．syslog.conf配置文件详解 10.1.3 配置管理系统日志 第二列的action用于指定日志消息的去向，可以将日志消息定向到： ·特定日志文件 ·控制台 ·指定的用户 ·所有登录用户 ·转发给远程日志服务器。表达格式为“@loghost”