Chinaunix首页 | 论坛 | 博客
  • 博客访问: 112338
  • 博文数量: 19
  • 博客积分: 1716
  • 博客等级: 上尉
  • 技术积分: 275
  • 用 户 组: 普通用户
  • 注册时间: 2010-02-25 14:03
文章分类

全部博文(19)

文章存档

2011年(8)

2010年(11)

我的朋友

分类: LINUX

2010-10-28 08:43:58

从Ext到Ext2,从Ext2再到Ext3,乃至以后的Ext4或者更高版本,Linux系统历来以强大、丰富和完整的日志系统著称。通过管理日志,可以清晰地了解系统的运行状况,也能从各种蛛丝马迹中发现入侵和快速地阻止入侵。本文是有关Linux系统全方位管理的第四部分,讲述Linux日志管理方面的事项。前面三个部分分别为:,,以及。

(更多详细内容请关注Linux系统全方位管理专题: )

日志主要的功能有:审计和监测。它还可以实时的监测系统状态,监测和追踪侵入者等等。成功地管理任何系统的关键之一,是要知道系统中正在发生什么事。Linux中提供了异常日志,并且日志的细节是可配置的。Linux日志都以明文形式存储,所以用户不需要特殊的工具就可以搜索和阅读它们。还可以编写脚本,来扫描这些日志,并基于它们的内容去自动执行某些功能。Linux日志存储在/var/log目录中。这里有几个由系统维护的日志文件,但其他服务和程序也可能会把它们的日志放在这里。大多数日志只有root账户才可以读,不过修改文件的访问权限就可以让其他人可读。在Linux系统中,有四类主要的日志:

◆连接时间日志:由多个程序执行,把记录写入到/var/log/wtmp和/var/run/utmp,login等程序更新wtmp和utmp文件,使系统管理员能够跟踪谁在何时登录到系统。

◆进程统计:由系统内核执行。当一个进程终止时,为每个进程往进程统计文件(pacct或acct)中写一个记录。进程统计的目的是为系统中的基本服务提供命令使用统计。

◆错误日志:由syslogd(8)守护程序执行。各种系统守护进程、用户程序和内核通过syslogd(3)守护程序向文件/var/log/messages报告值得注意的事件。另外有许多UNIX程序创建日志。像HTTP和FTP这样提供网络服务的服务器也保持详细的日志。

◆实用程序日志:许多程序通过维护日志来反映系统的安全状态。su命令允许用户获得另一个用户的权限,所以它的安全很重要,它的文件为sulog。同样的还有sudolog。另外,诸如Apache等Http的服务器都有两个日志:access_log(客户端访问日志)以及error_log(服务出错日志)。 FTP服务的日志记录在xferlog文件当中,Linux下邮件传送服务(sendmail)的日志一般存放在maillog文件当中。

utmp、wtmp日志文件是多数Linux日志子系统的关键,它保存了用户登录进入和退出的记录。有关当前登录用户的信息记录在文件utmp中;登录进入和退出记录在文件wtmp中;数据交换、关机以及重启的机器信息也都记录在wtmp文件中。所有的记录都包含时间戳。时间戳对于日志来说非常重要,因为很多攻击行为分析都与时间有极大的关系。这些文件在具有大量用户的系统中增长十分迅速。例如wtmp文件可以无限增长,除非定期截取。许多系统以一天或者一周为单位把wtmp配置成循环使用。它通常由cron运行的脚本来修改。这些脚本重新命名并循环使用wtmp文件。通常,wtmp在第一天结束后命名为wtmp.1;第二天后wtmp.1变为wtmp.2等等,用户可以根据实际情况来对这些文件进行命名和配置使用。

utmp文件被各种命令文件使用,包括who、w、users和finger。而wtmp文件被程序last和ac使用。

wtmp和utmp文件都是二进制文件,他们不能被诸如tail命令剪贴或合并(使用cat命令)。用户需要使用who、w、users、last和ac来使用这两个文件包含的信息。

1.who命令

who命令查询utmp文件并报告当前登录的每个用户。Who的缺省输出包括用户名、终端类型、登录日期及远程主机。使用该命令,系统管理员可以查看当前系统存在哪些不法用户,从而对其进行审计和处理。例如:运行who命令显示如下所示:

# who
root     pts/1        2010-02-22 13:02 (:0.0)
root     pts/2        2010-02-22 15:57 (:0.0)
root     pts/3        2010-02-22 15:57 (:0.0)

如果指明了wtmp文件名,则who命令查询所有以前的记录。命令who /var/log/wtmp将报告自从wtmp文件创建或删改以来的每一次登录。例如:运行该命令如下所示:

# who /var/log/wtmp
root     :0           2010-01-24 21:47
root     pts/1        2010-01-24 21:47 (:0.0)
root     :0           2010-02-20 19:36
root     pts/1        2010-02-20 19:36 (:0.0)
root     :0           2010-02-21 15:21
root     pts/1        2010-02-21 15:56 (:0.0)
root     pts/2        2010-02-21 16:03 (:0.0)
root     :0           2010-02-22 13:01
root     pts/1        2010-02-22 13:02 (:0.0)
root     pts/2        2010-02-22 15:57 (:0.0)
root     pts/3        2010-02-22 15:57 (:0.0)

2.users命令

users用单独的一行打印出当前登录的用户,每个显示的用户名对应一个登录会话。如果一个用户有不止一个登录会话,那他的用户名将显示相同的次数。运行该命令将如下所示:

# users
root root root

3.last命令

last命令往回搜索wtmp来显示自从文件第一次创建以来登录过的用户。系统管理员可以周期性地对这些用户的登录情况进行审计和考核,从而发现起中存在的问题,确定不法用户,并进行处理。运行该命令,如下所示:

# last
root     pts/3        :0.0             Mon Feb 22 15:57   still logged in  
root     pts/2        :0.0             Mon Feb 22 15:57   still logged in  
root     pts/1        :0.0             Mon Feb 22 13:02   still logged in  
root     :0                            Mon Feb 22 13:01   still logged in  
reboot   system boot  2.6.18-8.el5     Mon Feb 22 12:56          (03:02)   
root     pts/2        :0.0             Sun Feb 21 16:03 - down   (02:37)   
root     pts/1        :0.0             Sun Feb 21 15:56 - down   (02:45)   
root     :0                            Sun Feb 21 15:21 - down   (03:20)   
reboot   system boot  2.6.18-8.el5     Sun Feb 21 15:19          (03:22)   
root     pts/1        :0.0             Sat Feb 20 19:36 - down   (01:50)   
root     :0                            Sat Feb 20 19:36 - down   (01:51)   
reboot   system boot  2.6.18-8.el5     Sat Feb 20 19:34          (01:53)   
root     pts/1        :0.0             Sun Jan 24 21:47 - down   (00:02)   
root     :0                            Sun Jan 24 21:47 - down   (00:02)   
reboot   system boot  2.6.18-8.el5     Sun Jan 24 21:45          (00:05)   
reboot   system boot  2.6.18-8.el5     Sun Jan 24 21:41          (00:02)   
 
wtmp begins Sun Jan 24 21:41:03 2010

读者可以看到,使用上述命令显示的信息太多,区分度很小。所以,可以通过指明用户来显示其登录信息即可。例如:使用last reoot来显示reboot的历史登录信息,则如下所示:

# last reboot
reboot   system boot  2.6.18-8.el5     Mon Feb 22 12:56          (03:07)   
reboot   system boot  2.6.18-8.el5     Sun Feb 21 15:19          (03:22)   
reboot   system boot  2.6.18-8.el5     Sat Feb 20 19:34          (01:53)   
reboot   system boot  2.6.18-8.el5     Sun Jan 24 21:45          (00:05)   
reboot   system boot  2.6.18-8.el5     Sun Jan 24 21:41          (00:02)   
 
wtmp begins Sun Jan 24 21:41:03 2010

4.ac命令

ac命令根据当前的/var/log/wtmp文件中的登录进入和退出来报告用户连结的时间(小时),如果不使用标志,则报告总的时间。例如:ac(回车)显示:total 18.47,如下所示:

# ac
total       18.47

另外,可加一些参数,例如,last -u 102将报告UID为102的用户;last -t 7表示限制上一周的报告。

5.lastlog命令

lastlog文件在每次有用户登录时被查询。可以使用lastlog命令检查某特定用户上次登录的时间,并格式化输出上次登录日志/var/log/lastlog的内容。它根据UID排序显示登录名、端口号(tty)和上次登录时间。如果一个用户从未登录过,lastlog显示**Never logged**。注意需要以root身份运行该命令。运行该命令如下所示:

# lastlog
用户名           端口     来自             最后登陆时间
root                                       **从未登录过**
bin                                        **从未登录过**
daemon                                     **从未登录过**
adm                                        **从未登录过**
lp                                         **从未登录过**
sync                                       **从未登录过**
shutdown                                   **从未登录过**
halt                                       **从未登录过**
mail                                       **从未登录过**
news                                       **从未登录过**
uucp                                       **从未登录过**
operator                                   **从未登录过**
games                                      **从未登录过**
gopher                                     **从未登录过**
ftp                                        **从未登录过**
nobody                                     **从未登录过**
rpm                                        **从未登录过**
dbus                                       **从未登录过**
avahi                                      **从未登录过**
mailnull                                   **从未登录过**
smmsp                                      **从未登录过**
nscd                                       **从未登录过**
vcsa                                       **从未登录过**
haldaemon                                  **从未登录过**
rpc                                        **从未登录过**
rpcuser                                    **从未登录过**
sshd                                       **从未登录过**
pcap                                       **从未登录过**
ntp                                        **从未登录过**
gdm                                        **从未登录过**
apache                                     **从未登录过**
distcache                                  **从未登录过**
postgres                                   **从未登录过**
mysql                                      **从未登录过**
dovecot                                    **从未登录过**
webalizer                                  **从未登录过**
squid                                      **从未登录过**
named                                      **从未登录过**
xfs                                        **从未登录过**
sabayon                                    **从未登录过**
postfix                                    **从未登录过**
amanda                                     **从未登录过**
cyrus                                      **从未登录过**
mailman                                    **从未登录过**
radiusd                                    **从未登录过**
exim                                       **从未登录过**
privoxy                                    **从未登录过**
quagga                                     **从未登录过**
radvd                                      **从未登录过**
ldap                                       **从未登录过**
tomcat                                     **从未登录过**
pegasus                                    **从未登录过**
liyang                                     **从未登录过**
google                                     **从未登录过**

本文出自 “卓越始于足下” 博客,请务必保留此出处http://patterson.blog.51cto.com/1060257/399554

阅读(1764) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~