1、登錄帳戶管理

　　在Linux下登錄用戶帳戶的管理是通過utmp和wtmp這兩個工具來實現(xiàn)的。wtmp還記錄系統(tǒng)重啟和系統(tǒng)狀態(tài)變化的有關(guān)信息。所有與utmp和wtmp相關(guān)的數(shù)據(jù)都分別被保存在/var/run/utmp和/var/log/wtmp這兩個文件中。這兩個文件均歸屬于root用戶所有并且訪問權(quán)限被設(shè)置為644，這些文件中的數(shù)據(jù)是加密過的。可以用dump-utmp這個工具將原始的數(shù)據(jù)轉(zhuǎn)換為ASCII的數(shù)據(jù)，便于系統(tǒng)管理員分析用戶的登錄以及系統(tǒng)重啟和系統(tǒng)狀態(tài)變化的有關(guān)信息。

　　登錄帳戶管理的相關(guān)命令

　　last 命令提供了每個用戶登錄和退出的時間，同時還有系統(tǒng)重新啟動以及運(yùn)行狀態(tài)改變的信息。默認(rèn)情況下，last分析/var/log/wtmp文件并顯示每個連接和運(yùn)行狀態(tài)改變的信息。Last輸出的信息可能太多而讓查看的人無法應(yīng)付，典型的用法是last –5，表示查看/var/log/wtmp中的最新5條記錄的內(nèi)容。

　　who 命令的主要用處是報告系統(tǒng)中當(dāng)前登錄進(jìn)來的用戶信息。Who命令提供了如下的信息：用戶登錄進(jìn)入使用的系統(tǒng)終端設(shè)備、用戶的地址、使用的主機(jī)名、X顯示的窗口（假如使用了X Windows系統(tǒng)）、用戶是否接受其他用戶的消息和交談?wù)埱蟮取?/P>

　　ac 命令提供了有關(guān)用戶連接的大概統(tǒng)計，我們可以使用帶有標(biāo)志 d 和 p 的 ac 命令。標(biāo)志 d 顯示了一天的總連接統(tǒng)計，標(biāo)志 p 顯示了每一個用戶的連接時間。這種統(tǒng)計信息的方式對了解與探測入侵有關(guān)的用戶情況及其他活動很有幫助。

　　lastlog 命令讀取/var/log/lastlog文件并產(chǎn)生用戶最后一次登錄信息的報告lastlog命令也用于在Linux系統(tǒng)中檢查不尋常的登錄記錄。

　　2、系統(tǒng)帳戶的審計

　　Linux操作系統(tǒng)可以通過設(shè)置日志文件可以對每個用戶的每一條命令進(jìn)行紀(jì)錄，不過這一功能默認(rèn)是沒有打開的。

　　開啟這個功能的過程：

　　# touch /var/log/pacct
　　# action /var/log/pact

　　也可以用自已的文件來代替/var/log/pacct這個文件。但必須路徑和文件名的正確。

　　sa命令與 ac 命令一樣，sa 是一個統(tǒng)計命令。該命令可以獲得每個用戶或每個命令的進(jìn)程使用的大致情況，并且提供了系統(tǒng)資源的消費信息。在很大程度上，sa 又是一個記帳命令，對于識別特殊用戶，特別是已知特殊用戶使用的可疑命令十分有用。另外，由于信息量很大,需要處理腳本或程序篩選這些信息。

　　lastcomm命令, 與 sa 命令不同，lastcomm 命令提供每一個命令的輸出結(jié)果，同時打印出與執(zhí)行每個命令有關(guān)的時間印戳。就這一點而說，lastcomm 比 sa 更有安全性。如果系統(tǒng)被入侵，請不要相信在 lastlog、utmp、wtm中記錄的信息，但也不要忽略，因為這些信息可能被修改過了。另外有可能有人替換了who程序來掩人耳目。通常，在已經(jīng)識別某些可疑活動后，進(jìn)程記帳可以有效的發(fā)揮作用。使用 lastcomm 可以隔絕用戶活動或在特定時間執(zhí)行命令。

　　3、使用logrorate對審計文件管理

　　/var/log/utmp，/var/log/wtmp和/var/log/pacct文件都是動態(tài)的數(shù)據(jù)文件。wtmp和pacct文件是在文件尾部不斷地增加記錄。在繁忙的網(wǎng)絡(luò)上，這些文件會變得很大。Linux提供了一個叫l(wèi)ogrotate的程序，它允許管理員對這些文件進(jìn)行管理。

　　Logrotate讀取/etc/logrotate.d目錄下的文件。管理員通過該目錄下的腳本文件，控制logrotate程序的運(yùn)作。一個典型的腳本文件如下：

{

rotate 5

weekly

errors root@serve1r

mail root@server1

copytruncate

compress

size 100k

}

　　腳本文件的含義如下：

　　● rotate 5——保留該文件一份當(dāng)前的備份和5份舊的備份。
　　● weekly——每周處理文件一次，通常是一周的第一天。
　　● errors——向郵件地址發(fā)送錯誤報告。
　　● mail——向郵件地址發(fā)送相關(guān)的信息。
　　● copytruncate——允許進(jìn)程持續(xù)地記錄，備份文件創(chuàng)建后，把活動的日志文件清空。
　　● compress——使用gzip工具對舊的日志文件進(jìn)行壓縮。
　　● size 100k——當(dāng)文件超過100k 時自動處理。

最新評論