第10章Linux日志与安全管理

1、第第10章章 Linux日志与安全管理日志与安全管理回 顾 上 一 章 内 容10.1 Linux日志管理日志管理1日志的作用利用日志文件，可检查错误发生的原因，实时监测系统的状态，检查分析各种攻击企图或追踪攻击者的踪迹。对日志文件进行分析，是系统安全检测的重要内容，同时也是计算机犯罪取证的重要依据。10.1.1 Linux日志系统简介日志系统简介10.1.1 Linux日志系统简介日志系统简介在Linux系统中，有两个服务进程在控制日志，分别是klogd和syslogd。klogd为内核日志守护进程，负责接收来自内核的消息，然后将内核消息传递给syslogd守护进程进行记录处理。syslog

2、d守护进程负责处理系统守护进程日志、用户程序日志和内核日志。2日志系统简介日志系统简介10.1.1 Linux日志系统简介日志系统简介Linux日志处理流程2日志系统简介日志系统简介10.1.2 配置管理日志服务配置管理日志服务klogd和syslogd守护进程的启动脚本为/etc/rc.d/init.d/syslog，通过该启动脚本，可实现对日志服务的管理。 查询服务进程是否已启动 通过查询syslog服务的运行状态来实现命令：service syslog status或/etc/rc.d/init.d/syslog statussyslogd(pid 1704)正在运行.klogd(pid

3、 1707)正在运行.1日志服务的管理日志服务的管理10.1.2 配置管理日志服务配置管理日志服务 通过执行“ps -ef”命令来查询rootRHEL5 #ps -ef |grep syslogdrootRHEL5 #ps -ef |grep klogd syslog服务的启动与停止启动syslog服务：service syslog start或/etc/rc.d/init.d/syslog start停止syslog服务：service syslog stop或/etc/rc.d/init.d/syslog stop重启syslog服务：service syslog restart或/etc

4、/rc.d/init.d/syslog restart1日志服务的管理日志服务的管理10.1.2 配置管理日志服务配置管理日志服务 设置syslog服务的自启动状态默认情况下，syslog服务在运行级别为2、3、4、5都会自动启动。若要在某个或某些运行级别不自动启动或要自动启动，可通过chkconfig命令来进行配置。1日志服务的管理日志服务的管理10.1.2 配置管理日志服务配置管理日志服务通过修改syslogd和klogd程序的启动参数，可改变syslogd和klogd进程的服务状态和功能，启动参数可通过/etc/sysconfig/syslog配置文件来设置或修改。若要让当前主机成为一个

5、日志记录服务器，使其除了能记录本机的日志外，还可记录远程主机传递来的日志消息，此时就要修改该配置文件，为syslogd守护进程增加使用“-r” 参数，即将以下配置项SYSLOGD_OPTIONS=-m 0修改为：SYSLOGD_OPTIONS=-r -m 02配置日志服务进程的启动参数配置日志服务进程的启动参数10.1.2 配置管理日志服务配置管理日志服务增加“-r”功能参数后，syslogd守护进程就会侦听UDP 514号端口，并从该端口获得远程主机传递来的日志消息，并根据/etc/syslog.conf配置文件的指令要求，对日志消息进行相应处理。修改/etc/sysconfig/syslo

6、g配置文件后，需要重启syslog服务才能生效。若要实现转发日志功能，还应增加使用“-h”参数。2配置日志服务进程的启动参数配置日志服务进程的启动参数10.1.3 配置管理系统日志配置管理系统日志syslogd守护进程的日志配置文件为/etc/syslog.conf。利用该配置文件，可实现将不同类型、不同级别的消息，记录到指定的日志文件中，或者将其传递给一个远程日志服务器。1系统日志配置文件简介系统日志配置文件简介10.1.3 配置管理系统日志配置管理系统日志 配置项表达规则配置项格式：facility.level actionfacility代表日志消息的来源设备；level代表日志的级别，

7、日志级别指示消息的紧急程度。日志设备与日志级别之间用“.”分隔，可以使用“*”来匹配所有的设备或所有的日志级别。比如，kern.*代表内核的所有日志消息；*.emerg代表所有优先级为emerg的日志消息。2syslog.conf配置文件详解配置文件详解10.1.3 配置管理系统日志配置管理系统日志第二列的action用于指定日志消息的去向，可以将日志消息定向到：特定日志文件控制台指定的用户所有登录用户转发给远程日志服务器。表达格式为“loghost”2syslog.conf配置文件详解配置文件详解10.1.3 配置管理系统日志配置管理系统日志 配置项详解 kern.*/dev/console

8、kern.*表示内核产生的所有日志消息，/dev/console表示将这些消息输出到/dev/console设备中。 *.info;mail.none;authpriv.none;cron.none/var/log/messages表示mail、authpriv和cron设备的日志不输出到/var/log/messages文件中。所有设备的info级别的日志均输出到/var/log/messages文件中。2syslog.conf配置文件详解配置文件详解10.1.3 配置管理系统日志配置管理系统日志 authpriv.* /var/log/secure 该配置项表示将authpriv设备产生的

9、所有级别的日志消息保存到/var/log/secure日志文件中。 mail.* /var/log/maillog该配置项表示将所有邮件日志保存到/var/log/maillog日志文件中。 cron.* /var/log/cron将cron设备产生的所有日志消息保存到/var/log/cron日志文件中。2syslog.conf配置文件详解配置文件详解10.1.3 配置管理系统日志配置管理系统日志 *.emerg *将所有设备产生的emerg级别的日志消息，广播给所有用户。 uucp,news.crit/var/log/spooler将uucp和news子系统产生的crit级别及其以上级别的

10、日志消息，保存到/var/log/spooler日志文件中。 local7.* /var/log/boot.log 将开机引导记录保存到/var/log/boot.log日志文件中。2syslog.conf配置文件详解配置文件详解10.1.4 登录连接日志与进程统计日志登录连接日志与进程统计日志Linux的登录连接日志文件有/var/log/wtmp、/var/run/utmp和/var/log/lastlog。只能使用who、last、lastlog、users、ac和w等命令来查看。 who命令who命令查询utmp文件并报告当前登录的每个用户。输出的信息包含：用户名、终端类型、登录日期时

11、间以及登录的主机地址。rootmail # whoroot pts/0 Mar 14 00:41 (52)1登录连接日志登录连接日志10.1.4 登录连接日志与进程统计日志登录连接日志与进程统计日志 last命令 last命令往回搜索wtmp日志文件，来显示自从该文件第一次创建以来登录过的用户的相关信息。 lastlog命令lastlog命令所显示的内容来自/var/log/lastlog日志文件，该命令只能以root的身份运行。1登录连接日志登录连接日志10.1.4 登录连接日志与进程统计日志登录连接日志与进程统计日志 users、w与ac命令users只显示当前登录的

12、用户名，每个显示的用户名对应一个登录会话。w命令查询utmp文件并显示当前已登录的每个用户的用户名、登录终端、登录主机的IP地址、登录的在线时间以及它所运行的进程等信息。ac命令统计显示用户登录连接的总在线时间，以小时为单位。1登录连接日志登录连接日志10.1.5 Linux日志维护工具日志维护工具logrotate是一个日志文件管理工具，以自己的守护进程运行，能根据配置文件中的指令转储日志文件。它根据配置文件指定的周期，将原日志文件重命名为一个备份文件，然后再重新创建一个新的日志文件，所以在/var/log目录下，会发现一些类似messages.1、messages.2、messages.3

13、的日志备份文件。1日志文件维护工具日志文件维护工具10.1.5 Linux日志维护工具日志维护工具logrotate主要用于对日志文件进行维护和管理，若要对日志文件的内容进行分析过滤，则要使用日志分析工具，比如Logcheck和Friends。logchek通过关键字检查的方式来对日志文件进行分析，先将正常的日志信息剔除掉，将有问题的日志保留下来。2日志分析工具日志分析工具10.2 Linux安全管理策略安全管理策略设置CMOS密码，防止用户更改启动顺利。 在安装Linux系统时，为GRUB/LILI引导程序，设置保护密码。防止非授权用户以单用户模式引导进入系统后，将root账户的密码重置删除。 用户在本机登录或远程登录后，若要临时离开一会儿，应注销登录（logout）连接，然后再离开，以防止其它用户非授权操作使用。1防止主机的非授权直接使用防止主机的非授权直接使用10.2 Linux安全管理策略安全管理策略2取消取消ctrl+alt+del功能键的默认功能功能键的默认功能3使用强用户名与密码使用强用户名与密码4检查用户列表，删除不用的系统账户，合理设置检查用户列表，删除不用的系统账户，合理设置用户权限用户权限5查看服务进程列表和网络连接状态，以检查是否查看服务进