第6章_Linux中的日志管理.docVIP

第6章 Linux中的日志管理本章要点Linux日志管理简介Linux基本日志管理机制使用syslog设备Linux日志使用注意事项Linux日志输出查看方式Linux系统中的日志子系统对于系统安全来说非常重要，它记录了系统每天发生的各种各样的事情，包括哪些用户曾经或者正在使用系统，可以通过日志来检查错误发生的原因，更重要的是在系统受到黑客攻击后，日志可以记录攻击者留下的痕迹。通过查看这些痕迹，系统管理员可以发现黑客攻击的某些手段以及特点，从而能够进行处理工作，为抵御下一次攻击做好准备。本章主要讲述如何使用Linux系统中的日志子系统及其命令，从而更好地保护系统安全。 6.1 Linux日志管理简介 Linux系统中，有四类主要的日志： （1）连接时间日志：由多个程序执行，把记录写入到/var/log/wtmp和/var/run/utmp，login等程序更新wtmp和utmp文件，使系统管理员能够跟踪谁在何时登录到系统。 （2）进程统计：由系统内核执行。当一个进程终止时，为每个进程向进程统计文件（pacct或acct）中写一个记录。进程统计的目的是为系统中的基本服务提供命令使用统计。 （3）错误日志：由syslogd（8）守护程序执行。各种系统守护进程、用户程序和内核通过syslogd（3）守护程序向文件/var/log/messages报告值得注意的事件。另外有许多Linux程序创建日志。像HTTP和FTP这样提供网络服务的服务器也保持详细的日志。 （4）实用程序日志：许多程序通过维护日志来反映系统的安全状态。su命令允许用户获得另一个用户的权限，所以它的安全很重要，它的文件为sulog。同样重要的还有sudolog。另外，诸如Apache等Http服务器都有两个日志：access_log（客户端访问日志）以及error_log（服务出错日志）。FTP服务的日志记录在xferlog文件当中，Linux中邮件传送服务（sendmail）的日志一般存放在maillog文件当中。 上述四类日志中，常用的日志文件如表6-1所示。 表6-1 Linux系统中常用的日志文件 日志文件 注释 access-log 记录HTTP/Web的传输 acct/pacct 记录用户命令 boot.log 记录Linux系统开机自检过程显示的信息 lastlog 记录最近几次成功登录的事件和最后一次不成功的登录 messages 从syslog中记录信息（有的链接到syslog文件） （续） 日志文件 注释 Sudolog 记录使用sudo发出的命令 sulog 记录使用su命令的使用 syslog 从syslog中记录信息 utmp 记录当前登录的每个用户信息 wtmp 一个用户每次登录进入和退出时间的永久记录 xferlog 记录FTP会话信息 maillog 记录每一个发送到系统或从系统发出的电子邮件的活动。它可以用来查看用户使用哪个系统发送工具或把数据发送到哪个系统 6.2 Linux基本日志管理机制 utmpwtmp日志文件是多数Linux日志子系统的关键，它保存了用户登录和退出的记录。有关当前登录用户的信息记录在文件utmp中；登录和退出记录在文件wtmp中；数据交换、关机以及重启的机器信息也都记录在wtmp文件中。所有的记录都包含时间戳。时间戳对于日志来说非常重要，因为很多攻击行为都与时间有极大的关系。这些文件在具有大量用户的系统中增长十分迅速。例如wtmp文件可以无限增长，除非定期截取。许多系统以一天或者一周为单位把wtmp配置成循环使用。它通常由cron运行的脚本来修改。这些脚本重新命名并循环使用wtmp文件。通常，wtmp在第一天结束后命名为wtmp.1；第二天后wtmp.1变为wtmp.2，等等，用户可以根据实际情况来对这些文件进行命名和配置使用。 utmp文件被各种命令文件使用，包括who、w、users和finger。而wtmp文件被程序last和ac使用。 wtmp和utmp文件都是二进制文件，它们不能被诸如tail、cat等命令剪贴或合并。用户需要使用who、w、users、last和ac来使用这两个文件包含的信息。 6.2.1 who命令 who命令查询utmp文件并报告当前登录的每个用户。who的缺省输出包括用户名、终端类型、登录日期及远程主机。使用该命令，系统管理员可以查看当前系统存在哪些非法用户，从而对其进行审计和处理。例如：运行who命令显示如下： # who root pts/0 May 9 21:11 (28) root pts/1 May 9 21:16 (29) lhwen pts/7 May 9 22:0