162 0.11re 0.03cp 0avio 413k security.sh*
154 0.03re 0.02cp 0avio 273k ls
56 31.61re 0.02cp 0avio 823k ping6.pl*
2 3.23re 0.02cp 0avio 822k ping6.pl
35 0.02re 0.01cp 0avio 257k md5sum
97 0.02re 0.01cp 0avio 263k initlog
12 0.19re 0.01cp 0avio 399k promisc_check.s
15 0.09re 0.00cp 0avio 288k grep
11 0.08re 0.00cp 0avio 332k awk
用戶還可以根據(jù)用戶而不是命令來提供一個摘要報告����。例如sa -m顯示如下:
885 173.28re4.31cp 0avk
root879 173.23re4.31cp 0avk
alias 3 0.05re 0.00cp 0avk
qmailp 3 0.01re 0.00cp 0avk
Syslog設(shè)備
Syslog已被許多日志函數(shù)采納����,它用在許多保護措施中--任何程序都可以通過syslog 紀錄事件。Syslog可以紀錄系統(tǒng)事件����,可以寫到一個文件或設(shè)備中,或給用戶發(fā)送一個信息���。它能紀錄本地事件或通過網(wǎng)絡(luò)紀錄另一個主機上的事件���。
Syslog設(shè)備依據(jù)兩個重要的文件:/etc/syslogd(守護進程)和/etc/syslog.conf配置文件,習慣上�����,多數(shù)syslog信息被寫到/var/adm或/var/log目錄下的信息文件中(messages.*)。一個典型的syslog紀錄包括生成程序的名字和一個文本信息�����。它還包括一個設(shè)備和一個優(yōu)先級范圍(但不在日之中出現(xiàn))�����。
每個syslog消息被賦予下面的主要設(shè)備之一:
LOG_AUTH--認證系統(tǒng):login��、su���、getty等
LOG_AUTHPRIV--同LOG_AUTH�����,但只登錄到所選擇的單個用戶可讀的文件中
LOG_CRON--cron守護進程
LOG_DAEMON--其他系統(tǒng)守護進程,如routed
LOG_FTP--文件傳輸協(xié)議:ftpd��、tftpd
LOG_KERN--內(nèi)核產(chǎn)生的消息
LOG_LPR--系統(tǒng)打印機緩沖池:lpr���、lpd
LOG_MAIL--電子郵件系統(tǒng)
LOG_NEWS--網(wǎng)絡(luò)新聞系統(tǒng)
LOG_SYSLOG--由syslogd(8)產(chǎn)生的內(nèi)部消息
LOG_USER--隨機用戶進程產(chǎn)生的消息
LOG_UUCP--UUCP子系統(tǒng)
LOG_LOCAL0~LOG_LOCAL7--為本地使用保留
Syslog為每個事件賦予幾個不同的優(yōu)先級:
LOG_EMERG--緊急情況
LOG_ALERT--應(yīng)該被立即改正的問題����,如系統(tǒng)數(shù)據(jù)庫破壞
LOG_CRIT--重要情況,如硬盤錯誤
LOG_ERR--錯誤
LOG_WARNING--警告信息
LOG_NOTICE--不是錯誤情況���,但是可能需要處理
LOG_INFO--情報信息
LOG_DEBUG--包含情報的信息���,通常旨在調(diào)試一個程序時使用
syslog.conf文件指明syslogd程序紀錄日志的行為,該程序在啟動時查詢配置文件����。該文件由不同程序或消息分類的單個條目組成,每個占一行�����。對每類消息提供一個選擇域和一個動作域�����。這些域由tab隔開:選擇域指明消息的類型和優(yōu)先級����;動作域指明syslogd接收到一個與選擇標準相匹配的消息時所執(zhí)行的動作。每個選項是由設(shè)備和優(yōu)先級組成�����。當指明一個優(yōu)先級時,syslogd將紀錄一個擁有相同或更高優(yōu)先級的消息���。所以如果指明\"crit\"��,那所有標為crit����、alert和emerg的消息將被紀錄���。每行的行動域指明當選擇域選擇了一個給定消息后應(yīng)該把他發(fā)送到哪兒���。例如,如果想把所有郵件消息紀錄到一個文件中��,如下:
#Log all the mail messages in one place
mail.* /var/log/maillog
其他設(shè)備也有自己的日志��。UUCP和news設(shè)備能產(chǎn)生許多外部消息����。它把這些消息存到自己的日志(/var/log/spooler)中并把級別限為\"err\"或更高���。例如:
# Save mail and news errors of level err and higher in aspecial file.
uucp,news.crit /var/log/spooler
當一個緊急消息到來時�����,可能想讓所有的用戶都得到�����。也可能想讓自己的日志接收并保存����。
#Everybody gets emergency messages, plus log them on anther machine
*.emerg *
*.emerg @linuxaid.com.cn
alert消息應(yīng)該寫到root和tiger的個人賬號中:
#Root and Tiger get alert and higher messages
*.alert root,tiger
有時syslogd將產(chǎn)生大量的消息���。例如內(nèi)核(\"kern\"設(shè)備)可能很冗長����。用戶可能想把內(nèi)核消息紀錄到/dev/console中���。下面的例子表明內(nèi)核日志紀錄被注釋掉了:
#Log all kernel messages to the console
#Logging much else clutters up the screen
#kern.* /dev/console
用戶可以在一行中指明所有的設(shè)備���。下面的例子把info或更高級別的消息送到/var/log/messages,除了mail以外�����。級別\"none\"禁止一個設(shè)備:
#Log anything(except mail)of level info or higher
#Don\'t log private authentication messages!
*.info:mail.none;autHPriv.none /var/log/messages
在有些情況下,可以把日志送到打印機����,這樣網(wǎng)絡(luò)入侵者怎么修改日志都沒有用了。通常要廣泛紀錄日志�����。Syslog設(shè)備是一個攻擊者的顯著目標����。一個為其他主機維護日志的系統(tǒng)對于防范服務(wù)器攻擊特別脆弱,因此要特別注意��。
有個小命令logger為syslog(3)系統(tǒng)日志文件提供一個shell命令接口����,使用戶能創(chuàng)建日志文件中的條目。用法:logger 例如:logger This is a test���!
它將產(chǎn)生一個如下的syslog紀錄:Aug 19 22:22:34 tiger: This is a test!
注意不要完全相信日志����,因為攻擊者很容易修改它的�����。
程序日志
許多程序通過維護日志來反映系統(tǒng)的安全狀態(tài)�。su命令允許用戶獲得另一個用戶的權(quán)限,所以它的安全很重要�����,它的文件為sulog����。同樣的還有sudolog。另外�,想Apache有兩個日志:access_log和error_log。
其他日志工具
chklastlog
ftp://coast.cs.purdue.edu/pub/tools/unix/chklastlog/
chkwtmp
ftp://coast.cs.purdue.edu/pub/tools/unix/chkwtmp/
dump_lastlog
ftp://coast.cs.purdue.edu/pub/tools/unix/dump_lastlog.Z
spar
ftp://coast.cs.purdue.edu/pub/tools/unix/TAMU/
Swatch
http://www.lomar.org/komar/alek/pres/swatch/cover.html
Zap
ftp://caost.cs.purdue.edu/pub/tools/unix/zap.tar.gz
完
QQ:1613285598 億恩-明宇
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國五強!虛擬主機域名注冊頂級提供商����!15年品質(zhì)保障�!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
