使用日志子系統保護Linux安全

申請免費試用、咨詢電話：400-8352-114

文章來源：泛普軟件 Linux系統中的日志子系統對于系統安全來說非常重要，它記錄了系統每天發(fā)生的各種各樣的事情，包括哪些用戶曾經或者正在使用系統，可以通過日志來檢查錯誤發(fā)生的原因，更重要的是在系統受到黑客攻擊后，日志可以記錄下攻擊者留下的痕跡，通過查看這些痕跡，系統管理員可以發(fā)現黑客攻擊的某些手段以及特點，從而能夠進行處理工作，為抵御下一次攻擊做好準備。   Linux日志簡介   日志主要的功能有：審計和監(jiān)測。它還可以實時的監(jiān)測系統狀態(tài)，監(jiān)測和追蹤侵入者等等。在Linux系統中，有三類主要的日志子系統：   ·連接時間日志：由多個程序執(zhí)行，把記錄寫入到/var/log/wtmp和/var/run/utmp，login等程序會更新wtmp和utmp文件，使系統管理員能夠跟蹤誰在何時登錄到系統。 ·進程統計：由系統內核執(zhí)行，當一個進程終止時，為每個進程往進程統計文件（pacct或acct）中寫一個記錄。進程統計的目的是為系統中的基本服務提供命令使用統計。 ·錯誤日志：由syslogd（8）守護程序執(zhí)行，各種系統守護進程、用戶程序和內核通過syslog   （3）守護程序向文件/var/log/messages報告值得注意的事件。另外有許多Unix程序創(chuàng)建日志。像HTTP和FTP這樣提供網絡服務的服務器也保持詳細的日志。   表 常用日志文件

選項	注釋
access-log	記錄HTTP/web的傳輸
acct/pacct	記錄用戶命令
boot.log	記錄Linux系統開機自檢過程顯示的信息
lastlog	記錄最近幾次成功登錄的事件和最后一次不成功的登錄
messages	從syslog中記錄信息（有的鏈接到syslog文件）
sudolog	記錄使用sudo發(fā)出的命令
sulog	記錄使用su命令的使用
syslog	從syslog中記錄信息
utmp	記錄當前登錄的每個用戶信息
wtmp	一個用戶每次登錄進入和退出時間的記錄
xferlog	記錄FTP會話信息
maillog	記錄每一個發(fā)送到系統或從系統發(fā)出的電子郵件的活動。它可以用來查看用戶使用哪個系統發(fā)送工具或把數據發(fā)送到哪個系統

  Linux下日志的使用   1．基本日志命令的使用   utmp、wtmp日志文件是多數Linux日志子系統的關鍵，它保存了用戶登錄進入和退出的記錄。有關當前登錄用戶的信息記錄在文件utmp中；登錄進入和退出記錄在文件wtmp中；數據交換、關機以及重啟的機器信息也都記錄在wtmp文件中。所有的記錄都包含時間戳。時間戳對于日志來說非常重要，因為很多攻擊行為分析都與時間有極大的關系。這些文件在具有大量用戶的系統中增長十分迅速。例如wtmp文件可以無限增長，除非定期截取。許多系統以一天或者一周為單位把wtmp配置成循環(huán)使用。它通常由cron運行的腳本來修改。這些腳本重新命名并循環(huán)使用wtmp文件。通常，wtmp在第一天結束后命名為wtmp.1；第二天后wtmp.1變?yōu)閣tmp.2等等，用戶可以根據實際情況來對這些文件進行命名和配置使用。   utmp文件被各種命令文件使用，包括who、w、users和finger。而wtmp文件被程序last和ac使用。wtmp和utmp文件都是二進制文件，他們不能被諸如tail命令剪貼或合并（使用cat命令）。用戶需要使用who、w、users、last和ac來使用這兩個文件包含的信息。具體用法如下：   who命令：who命令查詢utmp文件并報告當前登錄的每個用戶。Who的缺省輸出包括用戶名、終端類型、登錄日期及遠程主機。使用該命令，系統管理員可以查看當前系統存在哪些不法用戶，從而對其進行審計和處理。例如：運行who命令顯示如下：   [root@working]# who root     pts/0    May  9 21:11 (10.0.2.128) root     pts/1    May  9 21:16 (10.0.2.129) lhwen   pts/7    May 9 22:03 (10.0.2.27)   如果指明了wtmp文件名，則who命令查詢所有以前的記錄。命令who /var/log/wtmp將報告自從wtmp文件創(chuàng)建或刪改以來的每一次登錄。例如：運行該命令如下所示：   [root@working]# who /var/log/wtmp liujun   pts/4    Sep 16 21:22 (10.0.2.231) root     pts/1    Sep 16 23:13 (10.0.2.246) yzh      pts/0    Sep 17 12:03 (eagle) ltb      pts/0    Sep 17 17:06 (10.0.2.148) ltb      pts/0    Sep 18 09:10 (10.0.2.148) ltb      pts/1    Sep 18 10:24 (10.0.2.148) ltb      pts/0    Sep 18 11:22 (10.0.2.148) devin    pts/2    Sep 18 16:23 (10.0.2.211)   users命令：users用單獨的一行打印出當前登錄的用戶，每個顯示的用戶名對應一個登錄會話。如果一個用戶有不止一個登錄會話，那他的用戶名將顯示相同的次數。運行該命令將如下所示： [root@working]# users root root  //只登錄了一個Root權限的用戶   last命令：last命令往回搜索wtmp來顯示自從文件第一次創(chuàng)建以來登錄過的用戶。系統管理員可以周期性地對這些用戶的登錄情況進行審計和考核，從而發(fā)現起中存在的問題，確定不法用戶，并進行處理。運行該命令，如下所示：   [root@working]# last devin    pts/1        10.0.2.221       Mon Jul 21 15:08 - down  (8+17:46)   devin    pts/1        10.0.2.221       Mon Jul 21 14:42 - 14:53  (00:11)    changyi  pts/2        10.0.2.141       Mon Jul 21 14:12 - 14:12  (00:00)    devin    pts/1        10.0.2.221       Mon Jul 21 12:51 - 14:40  (01:49)    reboot   system boot  2.4.18           Fri Jul 18 15:42         (11+17:13)  reboot   system boot  2.4.18           Fri Jul 18 15:34          (00:04)    reboot   system boot  2.4.18           Fri Jul 18 15:02          (00:36)      讀者可以看到，使用上述命令顯示的信息太多，區(qū)分度很小。所以，可以通過指明用戶來顯示其登錄信息即可。例如：使用last devin來顯示devin的歷史登錄信息，則如下所示：   [root@working]# last devin devin    pts/1        10.0.2.221       Mon Jul 21 15:08 - down  (8+17:46)   devin    pts/1        10.0.2.221       Mon Jul 21 14:42 - 14:53  (00:11)      ac命令：ac命令根據當前的/var/log/wtmp文件中的登錄進入和退出來報告用戶連結的時間（小時），如果不使用標志，則報告總的時間。另外，可一加一些參數，例如，last -t 7表示限制上一周的報告。   lastlog命令：lastlog文件在每次有用戶登錄時被查詢。可以使用lastlog命令檢查某特定用戶上次登錄的時間，并格式化輸出上次登錄日志/var/log/lastlog的內容。它根據UID排序顯示登錄名、端口號（tty）和上次登錄時間。如果一個用戶從未登錄過，lastlog顯示**Never logged**。注意需要以root身份運行該命令。運行該命令如下所示：
[root@working]# lastlog Username         Port     From             Latest root             pts/1    10.0.2.129       二  5月 10 10:13:26 +0800 2005 opa·    pts/1    10.0.2.129       二  5月 10 10:13:26 +0800 2005   2．使用Syslog設備   Syslog已被許多日志函數采納，它用在許多保護措施中，任何程序都可以通過syslog 記錄事件。Syslog可以記錄系統事件，可以寫到一個文件或設備中，或給用戶發(fā)送一個信息。它能記錄本地事件或通過網絡記錄另一個主機上的事件。   Syslog設備核心包括一個守護進程（/etc/syslogd守護進程）和一個配置文件（/etc/syslog.conf配置文件）。通常情況下，多數syslog信息被寫到/var/adm或/var/log目錄下的信息文件中（messages.*）。一個典型的syslog記錄包括生成程序的名字和一個文本信息。它還包括一個設備和一個優(yōu)先級范圍。   系統管理員通過使用syslog.conf文件，可以對生成的日志的位置及其相關信息進行靈活的配置，滿足應用的需要。例如，如果想把所有郵件消息記錄到一個文件中，則做如下操作：   #Log all the mail messages in one place mail.* /var/log/maillog 其他設備也有自己的日志。UUCP和news設備能產生許多外部消息。它把這些消息存到自己的日志（/var/log/spooler）中并把級別限為"err"或更高。例如：   # Save news errors of level crit and higher in a special file. uucp,news.crit                      /var/log/spooler 當一個緊急消息到來時，可能想讓所有的用戶都得到。也可能想讓自己的日志接收并保存。 #Everybody gets emergency messages， plus log them on anther machine *.emerg * *.emerg @linuxaid.com.cn 用戶可以在一行中指明所有的設備。下面的例子把info或更高級別的消息送到/var/log/messages，除了mail以外。級別"none"禁止一個設備： #Log anything（except mail）of level info or higher #Don't log private authentication messages! *.info:mail.none;autHPriv.none /var/log/messages   在有些情況下，可以把日志送到打印機，這樣網絡入侵者怎么修改日志都不能清除入侵的痕跡。因此，syslog設備是一個攻擊者的顯著目標，破壞了它將會使用戶很難發(fā)現入侵以及入侵的痕跡，因此要特別注意保護其守護進程以及配置文件。   3．程序日志的使用   許多程序通過維護日志來反映系統的安全狀態(tài)。su命令允許用戶獲得另一個用戶的權限，所以它的安全很重要，它的文件為sulog。同樣的還有sudolog。另外，諸如Apache等Http的服務器都有兩個日志：access_log（客戶端訪問日志）以及error_log（服務出錯日志）。 FTP服務的日志記錄在xferlog文件當中，Linux下郵件傳送服務（sendmail）的日志一般存放在maillog文件當中。 程序日志的創(chuàng)建和使用在很大程度上依賴于用戶的良好編程習慣。對于一個優(yōu)秀的程序員來說，任何與系統安全或者網絡安全相關的程序的編寫，都應該包含日志功能，這樣不但便于程序的調試和糾錯，而且更重要的是能夠給程序的使用方提供日志的分析功能，從而使系統管理員能夠較好地掌握程序乃至系統的運行狀況和用戶的行為，及時地采取行動，排除和阻斷意外以及惡意的入侵行為。   Linux日志使用注意事項   系統管理人員要應該提高警惕，隨時注意各種可疑狀況，并且按時和隨機地檢查各種系統日志文件，包括一般信息日志、網絡連接日志、文件傳輸日志以及用戶登錄日志等。在檢查這些日志時，要注意是否有不合常理的時間記載。例如：   ·用戶在非常規(guī)的時間登錄； ·不正常的日志記錄，比如日志的殘缺不全或者是諸如wtmp這樣的日志文件無故地缺少了中間的記錄文件； ·用戶登錄系統的IP地址和以往的不一樣； ·用戶登錄失敗的日志記錄，尤其是那些一再連續(xù)嘗試進入失敗的日志記錄； ·非法使用或不正當使用超級用戶權限su的指令； ·無故或者非法重新啟動各項網絡服務的記錄。   另外尤其提醒管理人員注意的是：日志并不是完全可靠的。高明的黑客在入侵系統后，經常會打掃現場。所以需要綜合運用以上的系統命令，全面、綜合的進行審查和檢測，切忌斷章取義，否則很難發(fā)現入侵或者做出錯誤的判斷。