第八课Linux分析.ppt

IT168IT168之之LinuxLinux加固教程加固教程（第八讲）（第八讲）linux日志分析日志分析讲讲 师：杨师：杨 宁宁(cnbirdcnbird)官方网站官方网站:http:/:http:/E-MAILE-MAIL：本章知识点n了解日志文件的含义n通过日志了解系统的运行状态n被入侵以后根据日志找出入侵者一.Linux日志系统简介日志系统简介n日志对于安全来说，非常重要，他记录了系统每天发生的各种各样的事情，你可以通过他来检查错误发生的原因，或者受到攻击时攻击者留下的痕迹。日志主要的功能有：审计和监测。他还可以实时的监测系统状态，监测和追踪侵入者等等。二.Linux日志系统分类n连接时间日志连接时间日志-连接时间日志由多个程序执行，把记录写入到/var/log/wtmp和/var/run/utmp。login等程序更新wtmp和utmp文件，使系统管理员能够跟踪谁在何时登录到系统。n日志格式日志格式选择条件和优先级.n错误日志错误日志-由syslogd（8）执行。各种系统守护进程、用户程序和内核通过syslog（3）向文件/var/log/messages报告值得注意的事件。另外有许多Linux程序创建日志。像HTTP和FTP这样提供网络服务的服务器也保持详细的日志。连接时间日志连接时间日志nutmp、wtmp和lastlog日志文件是多数重用UNIX日志子系统的关键-保持用户登录进入和退出的纪录。有关当前登录用户的信息记录在文件utmp中；登录进入和退出纪录在文件wtmp中；最后一次登录文件可以用lastlog命令察看。数据交换、关机和重起也记录在wtmp文件中。nwho、w、users、ac命令由系统内核执行。当一个进程终止时，为每个进程往进程统计文件（pacct或acct）中写一个纪录。进程统计的目的是为系统中的基本服务提供命令使用统计。n/var/log/secure登陆进系统的记录包括sshdtelnetpop等错误日志错误日志(syslog配置配置)nSyslog已被许多日志函数采纳，它用在许多保护措施中-任何程序都可以通过syslog纪录事件。Syslog可以纪录系统事件，可以写到一个文件或设备中，或给用户发送一个信息。它能纪录本地事件或通过网络纪录另一个主机上的事件。n/etc/syslog.conf文件格式讲解n服务名称.记录等级存放位置n服务名称包括常用的服务例如httpd,ftpd等.n记录等级info(信息的资料)notice(建议信息要关注)warning或者是warn(警告的信息)error(错误信息)特殊等级如debug(显示调试信息)错误日志错误日志(syslog配置配置)nSyslog的存放位置的存放位置绝对路径:/var/log打印机:/dev/lp0远程主机:192.168.0.10同时远程主机要开启-r选项/etc/sysconfig/syslog(重点讲解实现方法）syslog的安全属性设定的安全属性设定Chattr+a/var/log/messagesLsattr/var/log/message只能增加资料,但不能删除.(只有root才能修改,但是也不一定我们可以利用lcap让root也不能删除和修改以后讲解)日志格式日志格式n选择条件n优先级别n保存位置选择条件n选择条件本身分为两个字段，之间用一个小数点（.）分隔。前一字段是一项服务，后一字段是一个优先级。选择条件其实是对消息类型的一种分类，这种分类便于人们把不同类型的消息发送到不同的地方。在同一个syslog配置行上允许出现一个以上的选择条件，但必须用分号（;）把它们分隔开。上面给出的例子里只有一个选择条件“mail”。大家可以在我们后面给出的那个完整的syslog配置文件示例里看到同时有多个选择条件的配置行。表1列出了绝大多数Linux变体都可以识别的选择条件。表一优先级别n优先级是选择条件的第二个字段，它代表消息的紧急程度。对一个应用程序来说，它发出的哪些消息属于哪一种优先级是由当初编写它的程序员决定的，应用程序的使用者只能接受这样的安排除非打算重新编译系统应用程序。表2按严重程度由低到高的顺序列出了所有可能的优先级。表二日志存储位置n日志信息可以分别记录到多个文件里，还可以发送到命名管道、其他程序甚至另一台机器。syslog配置文件并不复杂，既容易阅读又容易操作使用。这个文件里的注释都非常有用，应该好好读读它们.DEMOn实例讲解把多台linux日志发送到中心服务器上三.专业的日志分析软件nSwatch下载地址:http:/