一.日志简介
日志对于系统安全来说非常重要,它记录了系统每天发生的各种各样的事情,管理员可以通过它来检查错误发生的原因,或者受到攻击时攻击者留下的痕迹。日志主要的功能有:审计和监测。它还可以实时地监测系统状态,监测和追踪侵入者等。
在Linux系统中,有3个主要的日志子系统。
1.连接时间日志
由多个程序执行,把记录写入/var/log/wtmp和/var/run/utmp,login等程序更新wtmp和utmp文件,使系统管理员能够跟踪谁在何时登录到系统。
2.进程统计
由系统内核执行。当一个进程终止时,向该进程的进程统计文件中写入一条记录。进程统计的目的是为系统中的基本服务提供命令使用统计。
3.错误日志
由syslogd执行。各种系统守护进程、用户程序和内核通过syslog向文件/var/log/messages报告值得注意的事件。另外有许多UNIX程序创建日志。像HTTP和FTP这样提供网络服务的服务器也保持详细的日志。
二.日志的查看和配置
1.查看日志文件
日志文件其实是纯文本的文件,每一行就是一个消息。只要是在Linux系统下能够处理纯文本的工具都能用来查看日志文件。日志文件总是很在,因为从第一次启动Linux系统开始,消息就都累积在日志文件中。看日志文件的一个比较好的方法是用像more或less那样的分页显示显示程序,或者用grep查找特定的消息。我们先用less显示“/var/log/messages”,从如图1.1显示的文件中可以看到从日志文件取出来的一些消息,每一行表示一个消息,而且都由4个域的固定格式组成。
sep 18 11:03:44 lcbj sendmail(85) starting daemon(8,9,3):SMTP+queueing 00:15:00 …
sep 18 11:03:44 lcbj passwd(337): password for ‘progs’changed by “root” …
sep 18 11:03:44 lcbj – MARK --
sep 18 11:03:44 lcbj – MARK --
(1)日间标签(Timestamp):表示消息发出的日期和日间。
(2)主机名(Hostname):表示生成消息的计算机的名字。如果只有一台计算机,主机名就可能没有必要了。但是,如果在网络环境中使用syslog,那么可能要把不同主机的消息发送到一台服务器上集中处理。在我们的例子中主机名为lcbj。
(3)生成消息的子系统的名字。表示消息来自内核或者是进程的名字,以及表示发出消息的程序的名字。在方括号里的是进程的PID。
(4)消息(Message),即消息的内容。
图1.1中的第一行是sendmail发出的消息,sendmail守护进程(Daemon)负责管理收到和发出的消息。这一行是守护进程正常启动的消息。
第二行是来自passwd的消息,提醒用户progs的口令被root改变过。以后的其他消息向用户报告系统的运行情况。
实际上在/var/log/message文件中的消息都不是特别重要或紧急的。
有一个很有趣的消息是MARK消息,在默认情况下每隔20min就会生成一次表示系统还在正常运行的消息。MARK消息很像经常用来确认远程主机是否还在运行的“心跳信号”(Heartbeat)。“MARK”消息另外的一个用途是用于事后分析,能够帮助系统管理员确定系统死机发生的时间。
2.配置日志
接下来讲解syslog守护进程的运行情况,这个程序是在后台运行的,从系统中获取新的消息,并把消息发送到合适的地方。每一个子系统发出日志消息的时候都会给消息指定一个类型。一个消息可以分成两个部分:设备和优先级。设备表示发出消息的子系统,优先级表示消息的重要性,其范围为 0(最重要)~7(最不重要),如图1.2所示。
Definition Value Comment
LOG_EMERC 0 /* system i s unusabel */
LOG_ALTER 1 /*action must be taken immediately */
LOG_CRIT 2 /*critical conditions */
LOG_ERR 3 /*error conditions */
LOG_WARNING 4 /*warning conditions */
Definition Syslog Name Comment
LOG_KERN kern /*Kernel messages */
LOG_USER User /*random user-level messages */
LOG_MAIL Mail /*mail system */
syslog的基本配置的很简单的,而进行一些高级特性的配置需要一些经验。我们现在看看基本的配置,也就是根据“设备”和“优先级” 确定哪些文件应该收到哪些消息。可以通过编辑文件/etc/syslog.conf对任务进行定制。在图1.3所示的文件中,以“#”开头的行都是注释行。其他的一些行也很容易理解,它们是由两个域组成,分别是选择器(Selector)和动作(Action)。选择器用相应的设备和优先级(可以用 “*”通配符表示任何一个)来表示消息的类型。动作表示一旦有一个新的消息和选择器相匹配的时候要采取的行动。
从图1.3中可以发现优先级等于Info和Notice的消息,无论它们的设备是什么,都发到/usr/adm/messages文件,因为在选择器中使用了通配符。同样优先级为Debug和Err的消息都分别送到/usr/adm/debug和/usr/adm/syslog文件。
#/etc/syslog.conf
#FOR info about the format of this file,see"man syslog.conf"(the BSD man #page),
and /usr/doc/sysklogd/README.linux.*.=info.*.=notice
/usr/adm/messages *.=debug /usr/adm/debug*.err /usr/adm/syslog
编辑完/etc/syslog文件之后,还必须运行Killall-HUP Syslogd,这样所做的改变才会生效。这个命令发送“HUP”信号给syslog守护进程,通知守护进程重新读取配置文件。
日志文件对于管理员来说很重要,通过对日志文件管理,管理员可以更好地维护系统,保障各种应用的正常进行。
Linux系统中提供了异常日志,并且日志的细节是可配置的。Linux日志都以明文形式存储,所以用户不需要特殊的工具就可以搜索和阅读它们。用户还可以编写脚本,来扫描这些日志,并基于它们的内容去自动执行某些功能。Linux日志存储在/var/log目录中,这里有几个由系统维护的日志文件,但其他服务和程序也可能会把它们的日志放在这里。大多数日志只有root账户才可以读,修改文件的访问权限就可以让其他人可读。
三.常用的日志文件
RHEL 4 中常见的日志文件主要有如下一些。
1./var/log/boot.log
该文件记录了系统在引导过程中发生的事件,就是Linux系统开机自检过程显示的信息。
2./var/log/cron
该日志文件记录crontab守护进程crond所派生的子进程的动作,前面加上用户、登录时间和PID,以及派生出的进程的动作。执行某个命令的一个动作是cron派生出一个调度进程的常见情况。REPLACE(替换)动作记录用户对它的cron文件的更新,该文件列出了要周期性执行的任务调度。RELOAD动作在REPLACE动作后不久发生,这意味着cron注意到一个用户的cron文件被更新而cron需要把它重新装入内存。该文件可能会查到一些反常的情况。
3./var/log/maillog
该日志文件记录了每一个发送到系统或从系统发出的电子邮件的活动。它可以用来查看用户使用哪个系统发送工具或把数据发送到哪个系统。
4./var/log/messages
该日志文件是许多进程日志文件的汇总,从该文件可以看出任何入侵企图或成功的入侵。该文件每一行包含日期、主机名、程序名,后面是包含 PID或内核标识的方括号、一个冒号和一个空格,最后是消息。该文件有一个不足,就是被记录的入侵企图和成功的入侵事件被淹没在大量的正常进程的记录中。但该文件可以由文件/etc/syslog进程定制,由配置文件/etc/syslog.conf决定系统如何写/var/messages。
5./var/log/syslog
默认情况下Linux系统不生成该日志文件,但可以配置/etc/syslog.conf让系统生成该日志文件。它和/etc/log /messages日志文件不同,它只记录警告信息,常常是系统出问题的信息,所以更应该关注该文件。要让系统生成该日志文件,需要在/etc /syslog.conf文件中加上“*.warning/var/log/syslog”。该日志文件能记录当用户登录时login记录下错误口令、 Sendmail的问题和su命令执行失败等信息。
6./var/log/secure
该日志文件记录与安全相关的信息。
7./var/log/lastlog
该日志文件记录最近成功登录事件和最后一次不成功登录事件,由login生成。在每次用户登录时被查询,该文件是二进制文件,需要使用 lastlog命令查看,根据UID排序显示登录名、端口号和上次登录时间。如果某用户从来没有登录过,就显示为“**Never logged in**”。该命令只能以root权限执行。
系统账户诸如bin、daemon、adm、uucp、mail等不应该登录,如果发现这些账户已经登录,就说明系统可能已经被入侵了。若发现记录的时间不是用户上次登录的时间,则说明该用户的账户已经泄露了。
8./var/log/wtmp
该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件。因此随着系统正常运行时间的增加,该文件也会起来越大,增加的速度取决于系统用户登录的次数。
9./var/run/utmp
该日志文件记录当前登录的每个用户的有关信息。因此这个文件会随着用户登录和注销系统而不断变化,它只保留当时联机的用户记录,不会为用户保留永久的记录。系统中需要查询当前用户状态的程序(如who、w、users、finger)需要访问这个文件。该日志文件并不能包括所有精确的信息,因为某些突发错误会终止用户登录会话,而系统没有及时更新utmp记录,因此该日志文件的记录不是百分之百值得信赖的。
10./var/log/xferlog
该日志文件记录FTP会话,可以显示出用户向FTP服务器或从服务器复制了什么文件。该文件会显示用户复制到服务器上的用来入侵服务器的恶意程序,以及该用户复制了哪些文件。
该文件的第一个域是日期和日间,第二个域是下载文件所花费的秒数、远程系统名称、文件大小、本地路径名、传输类型(a:ASCII,b:二进制)、与压缩相关的标志、传输方向(相对于服务器而言i代表进,o代表出)、访问模式(a表示匿名,g表示输入口令,r表示真实用户)、用户名、服务名(通常是ftp)、认证方法(1或0)。
Red Hat Linux默认没有记录该日志文件。要启用该日志文件,必须在/etc/syslog.conf文件中添加一行“kern.*/var/log /kernlog”,这样就启用了向/var/log/kernlog文件中记录所有内核消息的功能。该文件记录了系统启动时加载设备或使用设备的情况。
11./var/log/Xfree86.x.log
该日志文件记录了X-Window启动的情况。另外,除了/var/log外,恶意用户也可能在别的地方留下痕迹,应该注意以下几个地方:root和其他账户的shell历史文件;用户的各种邮箱,如set、mbox以及存放在/var/spool/mail和/var/spool /mqueue中的邮箱;临时文件/tmp、/usr/tmp、/var/tmp;隐藏的目录;其他恶意用户创建的文件,通常是以“.”开头的具有隐藏属性的文件等。
四.syslog程序
1.syslog程序的作用
系统内核和许多系统程序会产生错误信息、警告信息和其他信息。这些信息会被写到一个文件,执行这个过程的程序就是syslog,它能设置成根据输出信息的程序或重要程度将信息排序到不同的文件。例如,由于内核信息更重要且需要有规律地阅读以确定问题出在哪里,所以要把内核信息与其他信息分开来,单独定向到一个分离的文件中。
日志文件通常存放在/var/log目录下,为了查看日志文件的内容必须要有root权限。日志文件中的信息很重要,只有超级用户有访问这些文件的权限。
2.syslog程序
syslog已被许多日志函数采用,它被用在许多保护措施中。任何程序都可以通过syslog记录事件。syslog可以记录系统事件,可以写到一个文件或设备中,或给用户发送一个信息。它能记录本地事件或通过网络记录另一个主机上的事件。
syslog程序依赖于两个重要的文件:/etc/syslogd(守护进程)和/etc/syslog.conf配置文件。习惯上,多数syslog信息被写到/var/adm或/var/log目录下的信息文件中(messages.*)。一个典型的syslog记录包括生成程序的名字和一个文本信息,它还包括一个设备和一个优先级范围(但不在日志中出现)。
每个syslog消息被赋予下面的主要设备之一。
LOG_AUTH :认证系统login、su、getty等。
LOG_AUTHPRIV :同LOG_AUTH,但只登录到所选择的单个用户可读的文件中。
LOG_CRON :cron守护进程。
LOG_DAEMON :其他系统守护进程,如routed。
LOG_FTP :文件传输协议ftpd、tftpd。
LOG_KERN :内核产生的消息。
LOG_LPR :系统打印机缓冲池lpr、lpd。
LOG_MAIL :电子邮件系统。
LOG_NEWS :网络新闻系统。
LOG_SYSLOG :由syslogd(8)产生的内部消息。
LOG_USER :随机用户进程产生的消息。
LOG_UUCP :UUCP子系统。
LOG_LOCAL0~LOG_LOCAL7 :为本地使用保留。
syslog为每个事件赋予几个不同的优先级。
LOG_EMERG :紧急情况。
LOG_ALERT :应该被立即改正的问题,如系统数据库被破坏。
LOG_CRIT :重要情况,如硬盘错误。
LOG_ERR :错误。
LOG_WARNING :警告信息。
LOG_NOTICE :不是错误情况,但是可能需要处理。
LOG_INFO :情报信息。
LOG_DEBUG :包含情报的信息,通常只在调试一个程序时使用。
3.syslog.conf配置文件
syslog.conf文件指明syslogd程序记录日志的行为,该程序在启动时查询配置文件。该文件由不同程序或消息分类的单个条目组成,每个占一行。对每类消息提供一个选择域和一个动作。这些域由tab符隔开,选择域指明消息的类型和优先级,动作域指明syslogd接收到一个与选择标准相匹配的消息时所执行的动作。每个选项是由设备和优先级组成的。当指明一个优先级时,syslogd将记录一个拥有相同或更高优先级的消息。所以如果指明crit,那所有标为crit、alert和emerg的消息将记录。每行的行动域指明当选择域选择了一个给定消息后应该把它发送到哪儿。例如,如果想把所有邮件消息记录到一个文件中,向syslog.conf文件添加以下内容:
#Log all the mail messages in one place
mail.* /var/log/maillog
其他设备也有自己的日志。UUCP和news设备能产生许多外部消息。syslog程序把这些消息存到自己的日志(/var/log/spooler)并把级别限为“err”或更高。例如:
#Save mail and news errors of level err adn higher in aspecial file.
uucp,news.crit /var/log/spooler
当一个紧急消息到来时,可能想让所有的用户都得到,也可能想让自己的日志接收并保存,如下所示:
#Everybody gets emergency messages, plus log them on anter machne
*.emerg *
*.emerg @linuxid.com.cn
alert消息应该写到root和riger的个人账户中,向syslog.conf文件添加以下内容:
#Root adn Tiger get alert and higher messages
*.alert root,tiger
有时syslogd将产生大量的消息。例如,内核(Kernel设备)可能很冗长,用户可能想把内核消息记录到/dev/console中。下面的例子表明内核日志记录被注释掉了:
#Log all kernel messages to the console
#Logging much else clutters up the screen
#kern.* /dev/console
下面的例子把info或更高级别的消息记录到/var/log/messages(mail除外),级别“none”禁止一个设备:
#Log anything(except mail)of level info or higher
#Don't log private authentication messages!
*.info:mail.none;authprive.noe /var/log/messages