当前位置:七道奇文章资讯安全技术网络技术
日期:2010-04-16 01:37:00  来源:本站整理

犯罪记录的高级处理手段[网络技术]

赞助商链接



  本文“犯罪记录的高级处理手段[网络技术]”是由七道奇为您精心收集,来源于网络转载,文章版权归文章作者所有,本站不对其观点以及内容做任何评价,请读者自行判断,以下是其具体内容:

首先,有一个坚固的系统日记传输尺度.最简单的办法是登录本地并按期复制到一个SSH服务器.有一些可用的自动方法来操作,以下所示:

    1. 转储日记 - logrotate

    2. 紧缩 - gzip

    3. 利用校验和算法 - md5sum

    4. 从主机复制日记到服务器 - scp

    5. 再次运行md5sum并举行对比

    6. 在安全的地方存储日记文件并校验(极大概已加密)

    不过,这种办法最明显的缺陷就是时间耽误.差别的是基于UDP的系统日记,该日记复制办法答应日记之间的生成和安全储存以及解析.有时需求当即看到至关重要的日记文件.

    有一种办法可以当即拜候日记,那就是隧道.利用Netcat可以通过安全隧道UDP通太重定向syslog到TCP隧道.基本步骤以下所示:

    生成日记的主机:

    1. 编辑/etc/syslog.conf:

    *.* @localhost

    2. 运行号令:

    # nc -l -u -p 514 | cryptcat 10.2.1.1 9999

    汇集日记的主机:

    1. 远程接纳syslog

    2. 运行号令:

    # cryptcat -l -p 9999 | nc -u localhost 514

    别的,Stunnel的SSL封包,可利用于Cryptcat.

    假如不称心暂时隧道办理筹划,大概需求更高的安全性(如更高的发送确认或加密日记的完好性考证),这大概是考虑syslog替换品的时刻了.我们将看看两个众所周知的替换品:由BalabIT开辟的syslog-ng和CORE SDI开辟的msyslog.(还有第三个挑选,由Darren Reed编写的nsyslog,但仿佛没有主动地更新了.)它们的共同特点包含TCP通道、更多过滤功效(除了尺度的严重程度和系统日记设备)和日记文件的完好支持.

    msyslog

    在TCP情势安装工作需求触及到主机上的情形,以下所示:

    客户端:

    1. 改正/etc/syslog.conf

    *.* %tcp -a -h loghost -p 514 -m 30 -s 8192

    替换

    *.* @loghost

    2. 运行msyslogd -i linux -i unix,仅仅运行/etc/init.d/msyslog start便可完成.

    服务器:

    1. 运行msyslogd -i linux -i unix -i 'tcp -a -p 514',这个可以改正/etc/syslonfig/msyslog完成:

    IM_LINUX="-i linux" # 典范:"-i linux"

    IM_TCP="-t tcp -a -p 514" # 典范:"-i tcp accepted.host.com 514"

    IM_UNIX="-i unix" # 典范:"-i unix"

    后来果是未加密的TCP衔接(可以通过tcpdump proto TCP和514端口考证,便可看到日记信息).在syslog的汇集服务器中,分布着各种日记文件,需求举行以下任务:

    1. 对syslog.conf增添一行:

    *.info;mail.none;authpriv.none;cron.none %peo -l -k

    /etc/.var.log.authlog.key %classic /var/log/messages

    2. 终止syslog保护进程并删除日记文件

    3. 运行改程序成立初始校验(利用内置的“peochk”程序):

    # peochk -g -k /etc/.var.log.authlog.key

    4. 开启syslog:/etc/init.d/msyslog start

    测试一下:

    peochk -f /var/log/messages -k /etc/.var.log.authlog.key

    看:

    (0) /var/log/messages文件是无缺的

    假如编辑“messages”文件(比方,删除一行),然后重新测试,后果将是:

    (1) /var/log/messages已破坏

    msyslog的长处包含:它利用相同的/etc/syslog.conf文件作为通例系统日记,全部在UDP情势以及遍及的正则表达式支持,这在安装历程中非常有效.

    最安全的设置会触及到一个具有约束的msyslog本地主机地址(127.0.0.1)和利用了SSH RSA/DSA认证的拜候掌握,以及相关日记服务器的哈希完好性查抄.另一个重要问题是缓冲.由于TCP供应坚固的传输(不像UDP),确保日记服务器不会呈现停机情况.Msyslog供应了可配置缓冲的选项.如上述配置:“-m 30 -s 8192”重试限制和缓冲区大小.

    Syslog-ng

    Syslog-ng支持TCP衔接、过滤信息、完好转发主机日记等等,大量文档都可用到.

    为了使Syslog-ng可以工作,就必须利用一个转换工具,转换/etc/syslog.conf到syslog-ng的格局文件.号令以下所示:

[1] [2] [3]  下一页


  以上是“犯罪记录的高级处理手段[网络技术]”的内容,如果你对以上该文章内容感兴趣,你可以看看七道奇为您推荐以下文章:
  • 犯罪记录的高级处理手段
  • 本文地址: 与您的QQ/BBS好友分享!
    • 好的评价 如果您觉得此文章好,就请您
        0%(0)
    • 差的评价 如果您觉得此文章差,就请您
        0%(0)

    文章评论评论内容只代表网友观点,与本站立场无关!

       评论摘要(共 0 条,得分 0 分,平均 0 分) 查看完整评论
    Copyright © 2020-2022 www.xiamiku.com. All Rights Reserved .