1、登錄帳戶管理

　　在Linux下登錄用戶帳戶的管理是通過utmp和wtmp這兩個(gè)工具來實(shí)現(xiàn)的。wtmp還記錄系統(tǒng)重啟和系統(tǒng)狀態(tài)變化的有關(guān)信息。所有與utmp和wtmp相關(guān)的數(shù)據(jù)都分別被保存在/var/run/utmp和/var/log/wtmp這兩個(gè)文件中。這兩個(gè)文件均歸屬于root用戶所有并且訪問權(quán)限被設(shè)置為644，這些文件中的數(shù)據(jù)是加密過的?？梢杂胐ump-utmp這個(gè)工具將原始的數(shù)據(jù)轉(zhuǎn)換為ASCII的數(shù)據(jù)，便于系統(tǒng)管理員分析用戶的登錄以及系統(tǒng)重啟和系統(tǒng)狀態(tài)變化的有關(guān)信息。

　　登錄帳戶管理的相關(guān)命令

　　last 命令提供了每個(gè)用戶登錄和退出的時(shí)間，同時(shí)還有系統(tǒng)重新啟動(dòng)以及運(yùn)行狀態(tài)改變的信息。默認(rèn)情況下，last分析/var/log/wtmp文件并顯示每個(gè)連接和運(yùn)行狀態(tài)改變的信息。Last輸出的信息可能太多而讓查看的人無法應(yīng)付，典型的用法是last –5，表示查看/var/log/wtmp中的最新5條記錄的內(nèi)容。

　　who 命令的主要用處是報(bào)告系統(tǒng)中當(dāng)前登錄進(jìn)來的用戶信息。Who命令提供了如下的信息：用戶登錄進(jìn)入使用的系統(tǒng)終端設(shè)備、用戶的地址、使用的主機(jī)名、X顯示的窗口（假如使用了X Windows系統(tǒng)）、用戶是否接受其他用戶的消息和交談?wù)埱蟮取?/P>

　　ac 命令提供了有關(guān)用戶連接的大概統(tǒng)計(jì)，我們可以使用帶有標(biāo)志 d 和 p 的 ac 命令。標(biāo)志 d 顯示了一天的總連接統(tǒng)計(jì)，標(biāo)志 p 顯示了每一個(gè)用戶的連接時(shí)間。這種統(tǒng)計(jì)信息的方式對(duì)了解與探測入侵有關(guān)的用戶情況及其他活動(dòng)很有幫助。

　　lastlog 命令讀取/var/log/lastlog文件并產(chǎn)生用戶最后一次登錄信息的報(bào)告lastlog命令也用于在Linux系統(tǒng)中檢查不尋常的登錄記錄。

　　2、系統(tǒng)帳戶的審計(jì)

　　Linux操作系統(tǒng)可以通過設(shè)置日志文件可以對(duì)每個(gè)用戶的每一條命令進(jìn)行紀(jì)錄，不過這一功能默認(rèn)是沒有打開的。

　　開啟這個(gè)功能的過程：

　　# touch /var/log/pacct
　　# action /var/log/pact

　　也可以用自已的文件來代替/var/log/pacct這個(gè)文件。但必須路徑和文件名的正確。

　　sa命令與 ac 命令一樣，sa 是一個(gè)統(tǒng)計(jì)命令。該命令可以獲得每個(gè)用戶或每個(gè)命令的進(jìn)程使用的大致情況，并且提供了系統(tǒng)資源的消費(fèi)信息。在很大程度上，sa 又是一個(gè)記帳命令，對(duì)于識(shí)別特殊用戶，特別是已知特殊用戶使用的可疑命令十分有用。另外，由于信息量很大,需要處理腳本或程序篩選這些信息。

　　lastcomm命令, 與 sa 命令不同，lastcomm 命令提供每一個(gè)命令的輸出結(jié)果，同時(shí)打印出與執(zhí)行每個(gè)命令有關(guān)的時(shí)間印戳。就這一點(diǎn)而說，lastcomm 比 sa 更有安全性。如果系統(tǒng)被入侵，請(qǐng)不要相信在 lastlog、utmp、wtm中記錄的信息，但也不要忽略，因?yàn)檫@些信息可能被修改過了。另外有可能有人替換了who程序來掩人耳目。通常，在已經(jīng)識(shí)別某些可疑活動(dòng)后，進(jìn)程記帳可以有效的發(fā)揮作用。使用 lastcomm 可以隔絕用戶活動(dòng)或在特定時(shí)間執(zhí)行命令。

　　3、使用logrorate對(duì)審計(jì)文件管理

　　/var/log/utmp，/var/log/wtmp和/var/log/pacct文件都是動(dòng)態(tài)的數(shù)據(jù)文件。wtmp和pacct文件是在文件尾部不斷地增加記錄。在繁忙的網(wǎng)絡(luò)上，這些文件會(huì)變得很大。Linux提供了一個(gè)叫l(wèi)ogrotate的程序，它允許管理員對(duì)這些文件進(jìn)行管理。

　　Logrotate讀取/etc/logrotate.d目錄下的文件。管理員通過該目錄下的腳本文件，控制logrotate程序的運(yùn)作。一個(gè)典型的腳本文件如下：

{

rotate 5

weekly

errors root@serve1r

mail root@server1

copytruncate

compress

size 100k

}

　　腳本文件的含義如下：

　　● rotate 5——保留該文件一份當(dāng)前的備份和5份舊的備份。
　　● weekly——每周處理文件一次，通常是一周的第一天。
　　● errors——向郵件地址發(fā)送錯(cuò)誤報(bào)告。
　　● mail——向郵件地址發(fā)送相關(guān)的信息。
　　● copytruncate——允許進(jìn)程持續(xù)地記錄，備份文件創(chuàng)建后，把活動(dòng)的日志文件清空。
　　● compress——使用gzip工具對(duì)舊的日志文件進(jìn)行壓縮。
　　● size 100k——當(dāng)文件超過100k 時(shí)自動(dòng)處理。

最新評(píng)論