Linux日记管理详解(上）[网络技术]

Linux日记管理详解(上）
　　日记关于安全来说,非常重要,他记录了系统每天发生的各种各样的事情,你可以通过他来查抄错误发生的缘由,大概遭到攻击时攻击者留下的痕迹.日记主要的功效有:审计和监测.他还可以及时的监测系统状况,监测和追踪侵入者等等.

　　在Linux系统中,有三个主要的日记子系统:

　　衔接时间日记--由多个程序履行,把记录写入到/var/log/wtmp和/var/run/utmp,login等程序更新wtmp和utmp文件,使系统管理员可以跟踪谁在什么时刻登录到系统.

　　进程统计--由系统内核履行.当一个进程终止时,为每个进程往进程统计文件（pacct或acct）中写一个记录.进程统计的目的是为系统中的基本服务供应号令利用统计.

　　错误日记--由syslogd（8）履行.各种系统保护进程、用户程序和内核通过syslog（3）向文件/var/log/messages报告值得注意的事件.别的有很多UNIX程序成立日记.像HTTP和FTP这样供应网络服务的服务器也保持具体的日记.

　　常用的日记文件以下:

　　access-log　　　　　　　　 记录HTTP/web的传输

　　acct/pacct　　　　　　　　 记录用户号令

　　aculog　　　　　　　　　　 记录MODEM的活动

　　btmp　　　　　　　　　　　　记录失利的记录

　　lastlog　　记录近来几次成功登录的事件和最后一次不成功的登录

　　messages　　　　从syslog中记录信息（有的链接到syslog文件）

　　sudolog　　　　　　　　　　 记录利用sudo发出的号令

　　sulog　　　　　　　　　　 记录利用su号令的利用

　　syslog　　　　 从syslog中记录信息（普通链接到messages文件）

　　utmp　　　　　　　　　　　　记录当前登录的每个用户

　　wtmp　　　　　　　　一个用户每次登录进入和退出时间的永久记录

　　xferlog　　　　　　　　　　 记录FTP会话

　　utmp、wtmp和lastlog日记文件是大都重用UNIX日记子系统的关键--保持用户登录进入和退出的记录.有关当前登录用户的信息记录在文件utmp中;登录进入和退出记录在文件wtmp中;最后一次登录文件可以用lastlog号令察看.数据交换、关机和重起也记录在wtmp文件中.全部的记录都包含时间戳.这些文件（lastlog普通不大）在具有大量用户的系统中增长非常疾速.比方wtmp文件可以无限增长,除非按期截取.很多系统以一天大概一周为单位把wtmp配置成循环利用.它普通由cron运行的脚本来改正.这些脚本重新命名并循环利用wtmp文件.普通,wtmp在第一天完毕后命名为wtmp.1;第二天后wtmp.1变成wtmp.2等等,直到wtmp.7.

　　每次有一个用户登录时,login程序在文件lastlog中察看用户的UID.假如找到了,则把用户上次登录、退出时间和主机名写到尺度输出中,然后login程序在lastlog中记录新的登录时间.在新的lastlog记录写入后,utmp文件翻开并插入用户的utmp记录.该记录一向用到用户登录退出时删除.utmp文件被各种号令文件利用,包含who、w、users和finger.

　　下一步,login程序翻开文件wtmp附加用户的utmp记录.当用户登录退出时,具有更新时间戳的同一utmp记录附加到文件中.wtmp文件被程序last和ac利用.

　　具体号令
　　wtmp和utmp文件都是二进制文件,他们不能被诸如tail号令剪贴或归并（利用cat号令）.用户需求利用who、w、users、last和ac来利用这两个文件包含的信息.

　　who:who号令查询utmp文件并报告当前登录的每个用户.Who的缺省输出包含用户名、终端范例、登录日期及远程主机.比方:who（回车）显示

　　chyang　　　　 pts/0 Aug　　　　 18 15:06

　　ynguo　　　　 pts/2 Aug　　　　 18 15:32

　　ynguo　　　　 pts/3 Aug　　　　 18 13:55

　　lewis　　　　 pts/4 Aug　　　　 18 13:35

　　ynguo　　　　 pts/7 Aug　　　　 18 14:12

　　ylou　　　　 pts/8 Aug　　　　 18 14:15

　　假如指明了wtmp文件名,则who号令查询全部从前的记录.号令who /var/log/wtmp将报告自从wtmp文件成立或删改以来的每一次登录.

　　w:w号令查询utmp文件并显示当前系统中每个用户和它所运行的进程信息.比方:w（回车）显示:3:36pm up 1 day, 22:34, 6 users, load average: 0.23, 0.29, 0.27.

　　USER　　 TTY　　　　FROM　　　　 LOGIN@ IDLE JCPU PCPU　　WHAT

　　chyang pts/0 202.38.68.242　　3:06pm 2:04 0.08s 0.04s -bash

　　ynguo pts/2 202.38.79.47　　 3:32pm 0.00s 0.14s 0.05　　 w

　　lewis pts/3 202.38.64.233　　1:55pm 30:39 0.27s 0.22s -bash

　　lewis pts/4 202.38.64.233　　1:35pm 6.00s 4.03s 0.01s sh /home/users/

　　ynguo pts/7 simba.nic.ustc.e 2:12pm 0.00s 0.47s 0.24s telnet mail

　　ylou　　pts/8 202.38.64.235　　2:15pm 1:09m 0.10s 0.04s　　-bash