加强Linux系统日志

2005-02-05 01:05    Ke Zhao
os AT zhaoke.net      


目录:
一. 准备
二. 安装
三. 配置
四. 启动
五. 完整性测试
六. 更多

攻击者必须要修改日志才能成功的隐藏入侵痕迹. 当攻击者成功入侵一台计算机,
第一步是删除日志中的可疑条目以覆盖痕迹. 如果日志被修改的很恰当或者修改
量不多, 系统管理员也许几个月都不会发现系统已被攻击, 甚至永远也不会发现.
因为日志中的重要的信息报告了系统的异常状况, 而现在已被抹去, 这样一来
系统管理员很难发现任何入侵的痕迹.

现在我们来了解一个日志加强工具Msyslog, Msyslog是一个用于替代syslogd和
klogd用于加密和杂凑日志文件的安全工具. 而不是一个用于解决日志问题的入侵
检测工具. 系统使用Msyslog程序后, 攻击者将需要更多的时间隐藏痕迹, 很有
可能来不及隐藏. 而这时候攻击者仍旧能够删除整个日志文件, 那么这将是一个
很明显的系统入侵痕迹, 因为攻击者已经删除了不需要删除的正常日志部分.


一. 准备

说明:

系统平台: Redhat Linux 9
系统内核: 2.4.20-8smp
Sysklogd: 1.4.1-12

[root@www /]# uname -r
2.4.20-8smp

[root@www /]# cat /etc/redhat-release
Red Hat Linux release 9 (Shrike)

[root@www sbin]# rpm -qa|grep sysklogd
sysklogd-1.4.1-12

1. 下载和解压缩最新的Msyslog软件包.
建议从Msyslog的官方网站获得可靠的Msyslog软件包.

下载网址:

1) 创建Msyslog软件包存放的目录.
#mkdir -p /usr/local/src/log

2) 解压缩源代码包, 在log目录下会生成一个新的目录msyslog-v1.08g
tar zpxf msyslog-v1.08g-src.tar.gz

2. 配置预编译环境

Msyslog从1.04版本后自动配置模块, 你只需要做的是把正确的动态链接库
放到正确的库路径.

#cd msyslog-v1.08g
#./configure

第二行命令行一般不需要指定程序安装到的目录, 缺省为/usr/local.
如果你需要定程序安装到/usr目录, 请执行如下命令:

#./configure --prefix=/usr

二. 安装

安装的过程很简单, 运行:

#make clean;make;make install

如果你看到下面的信息表示你的系统已经成功安装msyslog

**********************************************************
** A new syslog daemon was installed !! **
** Please read the INSTALL and README files **
** to get your syslog configuration ready **
**********************************************************

make[1]: Leaving directory `/usr/local/src/log/msyslog-v1.08g/src'

三. 配置

1. 更新syslog和删除klogd并替换syslogd

安装好msyslog程序后首先要做的是删除/etc/rc.d/init.d/syslog脚本
中跟klogd相关的代码, 从系统中删除klogd启动进程/sbin/klogd, 然后
使用klogd的/usr/local/sbin/syslogd程序替代系统原有的/sbin/syslogd
程序.

#vi /etc/rc.d/init.d/syslog
#rm -f /sbin/klogd
#mv mv /usr/local/sbin/syslogd /sbin/syslogd

2. 修改syslog.conf文件

接下来编辑/etc/syslog.conf文件, 修改下面两行:

修改前:
*.info;mail.none;news.none;authpriv.none;cron.none /var/log/messages
authpriv.* /var/log/secure

修改后:
*.info;mail.none;authpriv.none %peo -l -m md5 -k /var/syslog/.var.log.
messages.key %classic /var/log/messages
(下一行紧接上一行.var.log.messages.key)

authpriv.* %peo -l -m md5 -k /var/syslog/.var.log.secure.key %classic
/var/log/secure
(下一行接上一行中间空一格%classic /var/log/secure)

3. 加密messages和secure两日志文件

#/usr/local/sbin/peochk -g -f /var/log/messages -i messagekey0 -m md5
#/usr/local/sbin/peochk -g -f /var/log/secure -i securekey0 -m md5

命令选项中的两个秘钥messagekey0和securekey0存储在非常安全的地方, 我们
可以不用担心其安全问题.

四. 启动

到现在为止, 终止klogd和syslogd两进程然后使用启动脚本启动msyslog程序.

#/etc/rc.d/init.d/syslog start

五. 完整性测试

如果被保护的系统日志已被该动, 运行下面的命令来检查其完整性:

#/usr/local/sbin/peochk -m md5 -i messagekey0 -f /var/log/messages
#/usr/local/sbin/peochk -m md5 -i securekey0 -f /var/log/secure


六. 更多

如有疑问或错误请提交到:

Ke Zhao, 　　　　　　
--------------------next---------------------