第章日志与安全管理PPT课件.ppt

第10章Linux日志与安全管理 1 回顾上一章内容 2 10 1Linux日志管理 1 日志的作用利用日志文件 可检查错误发生的原因 实时监测系统的状态 检查分析各种攻击企图或追踪攻击者的踪迹 对日志文件进行分析 是系统安全检测的重要内容 同时也是计算机犯罪取证的重要依据 10 1 1Linux日志系统简介 3 10 1 1Linux日志系统简介 在Linux系统中 有两个服务进程在控制日志 分别是klogd和syslogd klogd为内核日志守护进程 负责接收来自内核的消息 然后将内核消息传递给syslogd守护进程进行记录处理 syslogd守护进程负责处理系统守护进程日志 用户程序日志和内核日志 2 日志系统简介 4 10 1 1Linux日志系统简介 Linux日志处理流程 2 日志系统简介 5 10 1 2配置管理日志服务 klogd和syslogd守护进程的启动脚本为 etc rc d init d syslog 通过该启动脚本 可实现对日志服务的管理 查询服务进程是否已启动 通过查询syslog服务的运行状态来实现命令 servicesyslogstatus或 etc rc d init d syslogstatussyslogd pid1704 正在运行 klogd pid1707 正在运行 1 日志服务的管理 6 10 1 2配置管理日志服务 通过执行 ps ef 命令来查询 root RHEL5 ps ef grepsyslogd root RHEL5 ps ef grepklogd syslog服务的启动与停止启动syslog服务 servicesyslogstart或 etc rc d init d syslogstart停止syslog服务 servicesyslogstop或 etc rc d init d syslogstop重启syslog服务 servicesyslogrestart或 etc rc d init d syslogrestart 1 日志服务的管理 7 10 1 2配置管理日志服务 设置syslog服务的自启动状态默认情况下 syslog服务在运行级别为2 3 4 5都会自动启动 若要在某个或某些运行级别不自动启动或要自动启动 可通过chkconfig命令来进行配置 1 日志服务的管理 8 10 1 2配置管理日志服务 通过修改syslogd和klogd程序的启动参数 可改变syslogd和klogd进程的服务状态和功能 启动参数可通过 etc sysconfig syslog配置文件来设置或修改 若要让当前主机成为一个日志记录服务器 使其除了能记录本机的日志外 还可记录远程主机传递来的日志消息 此时就要修改该配置文件 为syslogd守护进程增加使用 r 参数 即将以下配置项SYSLOGD OPTIONS m0 修改为 SYSLOGD OPTIONS r m0 2 配置日志服务进程的启动参数 9 10 1 2配置管理日志服务 增加 r 功能参数后 syslogd守护进程就会侦听UDP514号端口 并从该端口获得远程主机传递来的日志消息 并根据 etc syslog conf配置文件的指令要求 对日志消息进行相应处理 修改 etc sysconfig syslog配置文件后 需要重启syslog服务才能生效 若要实现转发日志功能 还应增加使用 h 参数 2 配置日志服务进程的启动参数 10 10 1 3配置管理系统日志 syslogd守护进程的日志配置文件为 etc syslog conf 利用该配置文件 可实现将不同类型 不同级别的消息 记录到指定的日志文件中 或者将其传递给一个远程日志服务器 1 系统日志配置文件简介 11 10 1 3配置管理系统日志 配置项表达规则配置项格式 facility levelactionfacility代表日志消息的来源设备 level代表日志的级别 日志级别指示消息的紧急程度 日志设备与日志级别之间用 分隔 可以使用 来匹配所有的设备或所有的日志级别 比如 kern 代表内核的所有日志消息 emerg代表所有优先级为emerg的日志消息 2 syslog conf配置文件详解 12 10 1 3配置管理系统日志 第二列的action用于指定日志消息的去向 可以将日志消息定向到 特定日志文件 控制台 指定的用户 所有登录用户 转发给远程日志服务器 表达格式为 loghost 2 syslog conf配置文件详解 13 10 1 3配置管理系统日志 配置项详解 kern dev consolekern 表示内核产生的所有日志消息 dev console表示将这些消息输出到 dev console设备中 info mail none authpriv none cron none var log messages表示mail authpriv和cron设备的日志不输出到 var log messages文件中 所有设备的info级别的日志均输出到 var log messages文件中 2 syslog conf配置文件详解 14 10 1 3配置管理系统日志 authpriv var log secure该配置项表示将authpriv设备产生的所有级别的日志消息保存到 var log secure日志文件中 mail var log maillog该配置项表示将所有邮件日志保存到 var log maillog日志文件中 cron var log cron将cron设备产生的所有日志消息保存到 var log cron日志文件中 2 syslog conf配置文件详解 15 10 1 3配置管理系统日志 emerg 将所有设备产生的emerg级别的日志消息 广播给所有用户 uucp news crit var log spooler将uucp和news子系统产生的crit级别及其以上级别的日志消息 保存到 var log spooler日志文件中 local7 var log boot log将开机引导记录保存到 var log boot log日志文件中 2 syslog conf配置文件详解 16 10 1 4登录连接日志与进程统计日志 Linux的登录连接日志文件有 var log wtmp var run utmp和 var log lastlog 只能使用who last lastlog users ac和w等命令来查看 who命令who命令查询utmp文件并报告当前登录的每个用户 输出的信息包含 用户名 终端类型 登录日期时间以及登录的主机地址 root mail whorootpts 0Mar1400 41 192 168 4 252 1 登录连接日志 17 10 1 4登录连接日志与进程统计日志 last命令last命令往回搜索wtmp日志文件 来显示自从该文件第一次创建以来登录过的用户的相关信息 lastlog命令lastlog命令所显示的内容来自 var log lastlog日志文件 该命令只能以root的身份运行 1 登录连接日志 18 10 1 4登录连接日志与进程统计日志 users w与ac命令users只显示当前登录的用户名 每个显示的用户名对应一个登录会话 w命令查询utmp文件并显示当前已登录的每个用户的用户名 登录终端 登录主机的IP地址 登录的在线时间以及它所运行的进程等信息 ac命令统计显示用户登录连接的总在线时间 以小时为单位 1 登录连接日志 19 10 1 5Linux日志维护工具 logrotate是一个日志文件管理工具 以自己的守护进程运行 能根据配置文件中的指令转储日志文件 它根据配置文件指定的周期 将原日志文件重命名为一个备份文件 然后再重新创建一个新的日志文件 所以在 var log目录下 会发现一些类似messages 1 messages 2 messages 3的日志备份文件 1 日志文件维护工具 20 10 1 5Linux日志维护工具 logrotate主要用于对日志文件进行维护和管理 若要对日志文件的内容进行分析过滤 则要使用日志分析工具 比如Logcheck和Friends logchek通过关键字检查的方式来对日志文件进行分析 先将正常的日志信息剔除掉 将有问题的日志保留下来 2 日志分析工具 21 10 2Linux安全管理策略 设置CMOS密码 防止用户更改启动顺利 在安装Linux系统时 为GRUB LILI引导程序 设置保护密码 防止非授权用户以单用户模式引导进入系统后 将root账户的密码重置删除 用户在本机登录或远程登录后 若要临时离开一会儿 应注销登录 logout 连接 然后再离开 以防止其它用户非授权操作使用 1 防止主机的非授权直接使用 22 10 2Linux安全管理策略 2 取消ctrl alt del功能键的默