Linux入侵日志检测研究专题Word下载.docx
- 文档编号:19955671
- 上传时间:2023-01-12
- 格式:DOCX
- 页数:6
- 大小:22.03KB
Linux入侵日志检测研究专题Word下载.docx
《Linux入侵日志检测研究专题Word下载.docx》由会员分享,可在线阅读,更多相关《Linux入侵日志检测研究专题Word下载.docx(6页珍藏版)》请在冰豆网上搜索。
Linux系统中记录用户登入登出情况的文件是wtmp文件,记录当前登录用户情况的文件是utmp文件,它们是Linux系统安全的重要文件。
这两个文件中所有的日志都记录了准确的时间。
日志中记录的时间是非常重要的,因为很多攻击行为分析都是与时间有极大关系的。
Utmp以及wtmp文件都是二进制文件,不能通过tail,cat,vi或者重定向进行编辑。
系统管理员需要通过命令获取这两个文件中包含的信息,其中utmp文件中包含的信息可以通过who、w、users和finger获取,wtmp文件中包含的信息可以通过last和ac获取。
具体用法如下:
who命令从utmp文件中查询当前登录的用户情况。
缺省情况下who的输出包括登录使用用户名、登录日期及登录使用IP。
通过该命令,系统管理员可以发现当前系统存在哪些不法用户,找到非法使用用户后可以通过多种手段限制该用户或者该登录IP继续使用服务器。
下面是who命令运行显示情况:
[root@ntbak~]#who
roottty12011-03-2116:
59
rootpts/02011-06-1419:
06(10.35.117.80)
rootpts/22011-03-1314:
21(:
1.0)
在指明wtmp情况下,通过who命令可以查询到所有以前的记录。
下面是命令who/var/log/wtmp的运行结果,显示了自从wtmp文件创建、删改以来的每一次登录。
[root@ntbak~]#who/var/log/wtmp
ntbackuppts/02011-06-0314:
18(10.35.8.242)
rootpts/32011-06-0315:
24(10.35.117.80)
48(10.35.117.80)
ntbackuppts/02011-06-0317:
15(10.35.8.242)
ntbackuppts/02011-06-0710:
15(10.35.117.73)
ntbackuppts/32011-06-0710:
26(10.35.117.73)
45(10.35.117.73)
ntbackuppts/42011-06-0712:
43(10.35.117.73)
ntbackuppts/52011-06-0713:
41(10.35.117.73)
ntbackuppts/02011-06-0715:
rootpts/02011-06-0721:
12(10.32.171.146)
ntbackuppts/02011-06-0810:
39(10.35.117.73)
ntbackuppts/02011-06-0919:
ntbackuppts/02011-06-1008:
24(10.35.117.73)
ntbackuppts/32011-06-1008:
34(10.35.117.73)
ntbackuppts/42011-06-1010:
25(10.35.117.73)
ntbackuppts/02011-06-1012:
ntbackuppts/02011-06-1308:
rootpts/02011-06-1315:
42(flashieldsdell.nt.js.cmcc)
rootpts/02011-06-1414:
44(10.35.117.80)
1.2日志使用注意事项
在系统管理工作中,按时以及随机的检查系统日志是非常重要的工作,可以帮助系统管理人员及时发现可疑状况,需要检查的系统日志文件驻澳包括一般信息日志、网络连接日志、文件传输日志以及用户登录日志等。
在检查这些日志时,要特别注意时间记载,分析日志产生的时间是否合理。
例如:
■非正常时间(凌晨)的用户登录;
■关键日志记录损坏,尤其是记录用户登录登出信息的wtmp文件;
■非正常IP的用户登录;
■用户登录失败,甚至一再尝试登录并失败的日志记录;
■非正常的超级用户权限切换su指令;
■非正常的控制进程启动或重启记录。
由于Linux服务器是基于文件记录的系统日志,尽管重要的日志文件已经是二进制的,但是由于Linux是开源的操作系统,所以有些情况下黑客在入侵后经常会打扫战场。
虽然在这种情况下,日志信息显得不是那么可靠,但是如果能够综合运用以上的系统命令,并结合其他系统相关命令,通过系统的、关联的分析还是能够找到蛛丝马迹。
users命令在一行打印出当前登录的用户信息,每个用户名代表对应一个登录会话。
结合who命令以及进程统计日志可以分析黑客伪造这两个命令的情况。
运行该命令将如下所示:
[root@ntbak~]#users
rootrootroot
[root@ntbak~]#
last命令与who/var/log/wtmp命令输出结果相似。
通过使用以及对比着两个输出,系统管理员可以对使用系统的用户进行审计和考核,及时发现问题,解决问题。
运行该命令,如下所示:
[root@ntbak~]#last
rootpts/010.35.117.80TueJun1419:
06stillloggedin
rootpts/0flashieldsdell.nMonJun1315:
42-19:
21(03:
38)
ntbackuppts/010.35.117.73MonJun1308:
34-09:
11(00:
37)
……
ntbackuppts/010.35.8.242FriJun314:
18-16:
29(02:
11)
如果使用上述命令显示的信息太多,比较难区分,可以通过grep命令,或者对last命令指明用户来显示其登录信息即可。
只显示root的历史登录信息,则如下所示:
[root@ntbak~]#lastroot
rootpts/010.35.117.80TueJun1414:
44-16:
58(02:
14)
rootpts/010.32.171.146TueJun721:
12-23:
24(02:
rootpts/310.35.117.80FriJun315:
48-18:
04(02:
16)
24-15:
24(00:
00)
ac命令根据系统的wtmp文件中的登入登出信息生成用户连接时间(单位小时)的报告,如下所示。
[root@ntbak~]#ac-d
Jun3total6.68
Jun7total18.89
Jun8total9.92
Jun9total11.00
Jun10total9.28
Jun13total4.26
Todaytotal2.84
[root@ntbak~]#ac-p
ntbackup51.92
root10.95
total62.87
lastlog命令通过格式化输出上次登录日志/var/log/lastlog的内容,可以显示用户上次登录的时间。
它可以显示登录用户名、登录使用方式(tty/pts)和上次登录时间。
如果一个用户从未登录过,则显示“**Neverlogged**”。
。
运行该命令如下所示:
[root@working]#lastlog
UsernamePortFromLatest
rootpts/110.0.2.129二5月1010:
13:
26+08002005
opalpts/110.0.2.129二5月1010:
26+08002005
1.3使用Syslog设备
Syslog已被许多日志函数采纳,被用在许多保护措施中,任何程序都可以通过syslog记录事件。
Syslog可以记录系统事件,可以写到一个文件或设备中,或给用户发送一个信息。
它能记录本地事件或通过网络记录另一个主机上的事件。
Syslog设备核心包括一个守护进程(/etc/syslogd守护进程)和一个配置文件(/etc/syslog.conf配置文件)。
通常情况下,多数syslog信息被写到/var/adm或/var/log目录下的信息文件中(messages.*)。
一个典型的syslog记录包括生成程序的名字和一个文本信息。
它还包括一个设备和一个优先级范围。
系统管理员通过使用syslog.conf文件,可以对生成的日志的位置及其相关信息进行灵活配置,满足应用的需要。
例如,如果想把所有邮件消息记录到一个文件中,则做如下操作:
#Logallthemailmessagesinoneplace
mail.*/var/log/maillog
其他设备也有自己的日志。
UUCP和news设备能产生许多外部消息。
它把这些消息存到自己的日志(/var/log/spooler)中并把级别限为\"
err\"
或更高。
#Savenewserrorsoflevelcritandhigherinaspecialfile.
uucp,news.crit/var/log/spooler
当一个紧急消息到来时,可能想让所有的用户都得到。
也可能想让自己的日志接收并保存。
#Everybodygetsemergencymessages,pluslogthemonanthermachine
*.emerg*
*.emerg@
用户可以在一行中指明所有的设备。
下面的例子把info或更高级别的消息送到/var/log/messages,除了mail以外。
级别\"
none\"
禁止一个设备:
#Loganything(exceptmail)oflevelinfoorhigher
#Don\’tlogprivateauthenticationmessages!
*.info:
mail.none;
autHPriv.none/var/log/messages
在有些情况下,可以把日志送到打印机,这样网络入侵者怎么修改日志都不能清除入侵的痕迹。
因此,syslog设备是一个攻击者的显著目标,破坏了它将会使用户很难发现入侵以及入侵的痕迹,因此要特别注意保护其守护进程以及配置文件。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Linux 入侵 日志 检测 研究 专题