LINUX系统安全日志分析案例

当我们用上面的方法进行了 Linux 服务器的安装和一些基本的设置后,我们的服务器应该说来是比较安全的。但是总是还会有黑客可以通过各种方法利用系统管理员的疏忽侵入我们的系统。他们的一举一动都会记录到系统的日志之中,尽管他们可能可以改变这些日志信息,甚至用自己的程序替换掉我们系统本身的命令程序,但是通过日志我们总还是能找到一些蛛丝马迹。下面我们主要讲一下 Linux 环境中的系统记帐和系统日志管理以及怎么用一些工具更加方便有效的管理日志信息。

1 系统记帐

最初开发的系统记帐用于跟踪用户资源消费情况,从用户帐号中提取费用为目地的。现在我们可以把它用于安全目的,给我们提供有关在系统中发生的各种活动的有价值信息。

系统记帐主要非为两类:

1) 连接记帐

连接记帐是跟踪当前用户当前对话、用户登录和退出的活动。在 Linux 系统中使用 utmp (动态用户对话)和 wtmp (登录/退出日志记录)工具来完成这一记帐过程。Wtmp 工具同时维护重新引导和系统状态变化信息。各种程序对这些工具进行刷新和维护,因此无须进行特殊的后台进程或程序。然而,utmp 和 wtmp 输出结果文件必须存在,如果这些文件不存在会关闭连接记帐。与 utmp 和 wtmp 有关的所有数据将分别保存在 /var/run/utmp 和 /var/log/wtmp 中。这些文件归根用户所有。这些文件中的数据是用户不可读的,但也有工具可以转换成可读的形式。

dump-utmp 可以转换连接记帐数据为可读的 ASCII 格式数据。

ac 命令提供了有关用户连接的大概统计,我们可以使用带有标志 d 和 p 的 ac 命令。标志 d 显示了一天的总连接统计,标志 p 显示了每一个用户的连接时间。这种统计信息的方式对了解与探测入侵有关的用户情况及其他活动很有帮助。Last 和 who 是出于安全角度定期使用的最常用命令。

last 命令提供每一个用户的登录时间,退出登录时间,登录位置,重新引导系统及运行级别变化的信息。last -10 表示 last 的最多输出结果为最近的 10 条信息。缺省时 last 将列出在 /var/log/wtmp 中记录的每一连接和运行级别的变化。从安全角度考虑,last 命令提供了迅速查看特定系统连接活动的一种方式。观察每天的输出结果是个好习惯,从中可以捕获异常输入项。Last 命令的 -x 选项可以通知系统运行级别的变化。

who 命令主要作用是报告目前正在登录的用户、登录设备、远程登录主机名或使用的 Xwindows 的 X 显示值、会话闲置时间以及会话是否接受 write 或 talk 信息。

例如: who -iwH 的输出结果:

USER     MESG    LINE   LOGIN-TIME      IDLE    FROM
Denny      -     tty1   Feb 18 08:42    old
这就表示用户 Denny 不能接受 write 或 talk 信息,2月18日8:42 从 tty1 登录。该命令的安全值提供了用户连接的大致情况,这也为监视可疑活动提供了条件。 其他的有关命令有 lastlog 命令,该命令报告了有关 /var/log/lastlog 中记录的最后一次登录的数据信息。

2) 进程记帐

进程记帐是对进程活动的记录。原数据保存在 /var/log/pacct 文件中,其许可权限为 600。该文件的存在是进程记帐有效的保障。与连接记帐不同,进程记帐必须处于打开状态,使用下面的命令设置打开状态.

#    accton  /var/log/pacct
可以使用自选文件代替 /var/log/pacct,但必须记住这一文件并且设置适当的许可权限。必须在每次引导的时候执行该命令,可以在 /etc/rc.d/rc.local 中输入以下脚本:

#  initiate  process account
if  [ -x  /sbin/accton  ]
then
/sbin/accton   /var/log/pacct
echo  "process  accounting  initiated"
fi
一旦在系统中配置进程记帐后,将使用 3 个命令解释在 /var/log/pacct 中的非用户可读的原数据。这些命令分别为 dump-acct,该命令与 dump-utmp 完全相似,sa 命令用于统计系统进程记帐的大致情况,最后一个是 lastcomm 命令列出了系统执行的命令。

1 sa 命令

与 ac 命令一样,sa 是一个统计命令。该命令可以获得每个用户或每个命令的进程使用的大致情况,并且提供了系统资源的消费信息。在很大程度上,sa 又是一个记帐命令,对于识别特殊用户,特别是已知特殊用户使用的可疑命令十分有用。另外,由于信息量很大,需要处理脚本或程序筛选这些信息。

可以用这样的命令单独限制用户:

#    sa -u |grep joe
joe     0.00   cpu   bash
joe     0.00   cpu   ls
joe     0.01   cpu   ls
joe     0.01   cpu   lastcomm
joe     0.01   cpu   tcpdump
joe     0.01   cpu   reboot
输出结果从左到右依次为:用户名、CPU 使用时间秒数、命令(最多为 16 个字符)。

2 lastcomm 命令

与 sa 命令不同,lastcomm 命令提供每一个命令的输出结果,同时打印出与执行每个命令有关的时间印戳。就这一点而说,lastcomm 比 sa 更有安全性。

lastcomm 命令使用命令名,用户名或终端名作为变量。该命令可以查询进程记帐数据库。下面显示 lastcomm joe 的输出结果,每行表示命令的执行情况,从左到右为:用户、设备、使用的 cpu 时间秒数、执行命令的日期和时间。

#   lastcomm joe
reboot     joe    ttyp1    0.01    secs  Fri  Feb 26  18:40
tcpdump   joe    ttyp1    0.01    secs  Fri  Feb 26  18:39
lastcomm  joe    ttyp1    0.01    secs  Fri  Feb 26  18:32
ls        joe    ttyp1    0.01    secs   Fri  Feb 26  18:30
ls        joe    ttyp1    0.00    secs   Fri  Feb 26  18:28
bash      joe    ttyp1    0.00    secs   Fri  Feb 26  18:25

如果系统被入侵,请不要相信在 lastlog、utmp、wtmp、pacct 中记录的信息,但也不要忽略,因为这些信息可能被修改过了。另外有可能有人替换了who程序来掩人耳目。

通常,在已经识别某些可疑活动后,进程记帐可以有效的发挥作用。使用 lastcomm 可以隔绝用户活动或在特定时间执行命令。但是使用该命令必须设置为打开状态。

基本上,/var/log/pacct,/var/run/utmp, /var/log/pacct是动态数据库文件。其中/var/log/pacct和/var/log/wtmp文件随着输入项的增加和修改而增加。问题在于这些文件处于动态增加状态,因此到一定程度就会变的很大。

我们可以通过一个叫 logrotate 的程序来解决上面这个问题,该程序读 /etc/logrotate.conf 配置文件,该配置文件告诉 logrotate 所要读 /etc/logrotate.d 目录中的文件。可以通过它来设定日志文件的循环时间。

2 系统日志

在 Linux 下使用各种日志文件,有些用于某些特殊用途,例如:/var/log/xferlog 用于记录文件传输协议 FTP 的信息。其他日志文件,例如 /var/log/messages 文件通常包含许多系统和内核工具的输入项。这些日志文件为系统的安全状态提供了信息。

我们主要讲解两个日志守护程序—syslog和klogd——并且简要叙述了由Linux操作系统生成的其他其他日志文件。目的是提供基本的配置情况。

2.1 syslog系统日志工具

大部分的 Linux 系统中都要使用 syslog 工具,它是相当灵活的,能使系统根据不同的日志输入项采取不同的活动。下面将详细讨论syslog 的工作机制以及在配置文件 /etc/syslog.conf 中的配置,还将论述利用 syslog 灵活性和功能性进行工作的各种方法。

1) 概述

非常简单,syslog 工具由一个守护程序组成。它能接受访问系统的日志信息并且根据 /etc/syslog.conf 配置文件中的指令处理这些信息。程序,守护进程和内核提供了访问系统的日志信息。因此,任何希望生成日志信息的程序都可以向 syslog 接口呼叫生成该信息。

通常,syslog 接受来自系统的各种功能的信息,每个信息都包括重要级。/etc/syslog.conf 文件通知 syslogd 如何根据设备和信息重要级别来报告信息。

2) etc/syslog.conf

/etc/syslog.conf 文件使用下面的形式

facility.level    action
空白行和以#开头的行可以忽略。Facility.level 字段也被称做 seletor。应该使用一次或多次 tab 键分隔 facility 和 action。大部分 Linux 使用这些空格为分隔符。现在分析一下 /etc/syslog.conf 中的三个要素。

facility 指定 syslog 功能,主要包括以下这些:

auth  由 pam_pwdb 报告的认证活动。
authpriv 包括特权信息如用户名在内的认证活动
cron  与 cron 和 at 有关的信息。
daemon 与 inetd 守护进程有关的信息。
kern  内核信息,首先通过 klogd 传递。
lpr   与打印服务有关的信息。
mail  与电子邮件有关的信息
mark  syslog 内部功能用于生成时间戳
news  来自新闻服务器的信息
syslog  由 syslog 生成的信息
user   由用户程序生成的信息
uucp   由 uucp 生成的信息
local0----local7   与自定义程序使用,例如使用 local5 做为 ssh 功能
*   通配符代表除了 mark 以外的所有功能
与每个功能对应的优先级是按一定顺序排列的,emerg 是最高级,其次是 alert,依次类推。缺省时,在 /etc/syslog.conf 记录中指定的级别为该级别和更高级别。如果希望使用确定的级别可以使用两个运算符号!(不等)和=。

user.=info

表示告知 syslog 接受所有在 info 级别上的 user 功能信息。

syslog 级别如下:

emerg 或 panic   该系统不可用
alert            需要立即被修改的条件
crit             阻止某些工具或子系统功能实现的错误条件
err             阻止工具或某些子系统部分功能实现的错误条件
warning         预警信息
notice           具有重要性的普通条件
info             提供信息的消息
debug           不包含函数条件或问题的其他信息
none            没有重要级,通常用于排错
*               所有级别,除了none
action字段所表示的活动具有许多灵活性,特别是,可以使用名称管道的作用是可以使 syslogd 生成后处理信息。

syslog 主要支持以下活动

file     指定文件的绝对路径
terminal 或 print    完全的串行或并行设备标志符
@host   远程的日志服务器
username  发送信息到使用 write 的指定用户中
named pipe  指定使用 mkfifo 命令来创建的 FIFO 文件的绝对路径。

3) 调用 syslogd 守护程序

syslog 守护程序是由 /etc/rc.d/init.d/syslog 脚本在运行级2下被调用的,缺省不使用选项。但有两个选项 -r 和 -h 很有用。

如果将要使用一个日志服务器,必须调用 syslogd -r。缺省情况下 syslog 不接受来自远程系统的信息。当指定 -r 选项,syslogd 将会监听从 514 端口上进来的 UDP 包。

如果还希望日志服务器能传送日志信息,可以使用 -h 标志。缺省时,syslogd 将忽略使其从一个远程系统传送日志信息到另一个系统的/etc/syslog.conf 输入项。

4) klogd 守护进程

klogd 守护进程获得并记录 Linux 内核信息。通常,syslogd 会记录 klogd 传来的所有信息,然而,如果调用带有 -f filename 变量的 klogd 时,klogd 就在 filename 中记录所有信息,而不是传给 syslogd。当指定另外一个文件进行日志记录时,klogd 就向该文件中写入所有级别或优先权。Klogd 中没有和 /etc/syslog.conf 类似的配置文件。使用 klogd 而避免使用 syslogd 的好处在于可以查找大量错误。如果有人入侵了内核,使用 klogd 可以修改错误。

5) 其他日志

在 /var/log 和不同版本的系统中以及自己配置的应用程序中都可以找到其他日志文件。当然,/etc/syslog.conf 列出了由 syslogd 管理的所有日志文件名和位置。其他日志由其他应用程序管理。例如在 Redhat6.2 中,apache server 生成 /var/log/htmlaccess.log 文件记录客户访问,生成 /var/log/httpd/error.log 文件在 syslog 以外查找错误。

cron 工具维护的信息日志文件 /var/log/cron。当 Linuxconf 工具记录系统重新配置信息时,将生成日志文件如 /var/log/nerconf.log。samba 在 /var/log/samba 中维护其日志信息。

另外由于 syslogd 在系统非常繁忙时,可能会丢失信息,所以,可以用 cyclog 替换 syslog。

时间: 2024-10-28 22:29:38

LINUX系统安全日志分析案例的相关文章

一次Linux系统被攻击的分析过程

IT行业发展到现在,安全问题已经变得至关重要,从最近的"棱镜门"事件中,折射出了很多安全问题,信息安全问题已变得刻不容缓,而做为运维人员,就必须了解一些安全运维准则,同时,要保护自己所负责的业务,首先要站在攻击者的角度思考问题,修补任何潜在的威胁和漏洞. 一次Linux被入侵后的分析 下面通过一个案例介绍下当一个服务器被rootkit入侵后的处理思路和处理过程,rootkit 攻击是Linux系统下最常见的攻击手段和攻击方式. 1.受攻击现象 这是一台客户的门户网站服务器,托管在电信机

linux中nginx日志分析shell脚本

以前使用虚拟主机的时候,查看网站运行日志,就发现了很多异常的恶意的访问.当时因为自己并没有系统权限没办法对这些行为进行屏蔽.现在有了自己的云主机,前端时间查看日志,又发现了很多恶意访问.正好可以通过最近对shell的学习,来做一个简单的日志分析工具,来屏蔽一些这样的操作. 首先,所谓的分析工具,肯定是建立在人为的分析的基础上的.我们来看一点我的域名运行日志:  代码如下 复制代码 78.56.78.115 - - [21/May/2014:16:54:27 +0800] "POST /wp-lo

linux系统apache日志文件配置详解

Linux系统下apache日志文件设置(每天单独生成一个日志文件) 引言: Apache默认安装下,日志记录只有一个文件,时间久了之后,这个文件会变的很大,管理员要想查看分析日志,光打开日志就要花费很长时间,甚至还会影响服务器运行. 下面教大家设置apache,让服务器每天单独生成一个日志文件,这样管理.分析日志会方便很多. vi /etc/httpd/conf/httpd.conf #编辑文件 #ErrorLog logs/error_log #注释此行,添加下面这行  ErrorLog "

在Windows环境下搭建Linux系统的日志服务器

为什么架设LINUX日志服务器: 众所周知,Linux是一个日志系统完善的操作系统.系统管理员在运行维护服务器的时候,少不了查看日志文件,当服务器出现错误,排错的时候更是少不了查看系统日志.当管理员管理的网络中有多台Linux服务器的时候,并且服务器比较分散,管理跑到各个服务器上查看系统日志甚是麻烦.那么,我们可以构建一台日志服务器,所有的Linux系统产生的日志,都发送到日志服务器上.管理员只需要查看日志服务器中的日志文件即可. 配置环境:vmware虚拟机 要求:日志服务器采用Windows

linux 死机日志分析_unix linux

系统出现死机,一般分为两种情况:一是硬件问题:二是软件问题.  一.硬件问题  可以考虑分析以下几点:  1.不要超频CPU,如果已经超频的先回复到原来的频率  虽然平时运行没有问题,但可能在高负载的使用中就会出现不可预料的故障了.特别是linux系统在某些应用上,是可以把硬件的性能发挥到极限的,但这样的硬件运行Windows可能是没有问题的.  2.确认电源供电充足  必须确保在高负载的状态下,电源可以满足负载.  3.使用memtest86检查内存状态  4.恢复BIOS到默认状态  对于服

Linux常用的日志分析命令与工具

基础命令 操作 命令 说明 查看文件的内容 cat -n access.log -n显示行号 分页显示文件 more access.log Enter下一行,空格下一页,F下一屏,B上一屏 分页显示文件 less access.log 输入 /字符串 可查找并高亮 显示文件尾 tail -n2 -f access.log -n2显示最后2行,-f继续监听不退出 内容排序 sort -k 2 -t ' ' -n access.log -k指定排序列,-t指定列分隔符,-n按数字顺序 字符统计 wc

linux中nginx日志分析利器GoAccess使用方法

面试的时候一定会被面到的问题是:给出web服务器的访问日志,请写一个脚本来统计访问前10的IP有哪些?访问前10的请求有哪些?当你领略过goaccess之后,你就明白,这些问题,除了考验你的脚本背诵记忆能力以外,唯一的作用只有装A或者装C了. 对于nginx日志分析,有很多工具,衡量好坏的标准大概就是三快:安装快,解析快,上手快.满足这三点的goaccess确实是居家必备良药. 话说这个标题其实有点委屈GoAccess了,它是一个日志分析工具,并不只是为nginx使用的.你也可以用它来分析apa

linux系统的日志文件系统详细解释

①.linux上日志系统类型:syslog和syslog-ng(开源版和商业版) 1.syslog服务: syslogd:系统日志,非内核产生的信息 配置文件:/etc/syslog.conf. 配置以后利用service syslog reload(不用重启服务读取配置文件) 日志服务器配置:etc/sysconfig/syslog内SYSLOGD_OPTIONS="-m 0"改为SYSLOGD_OPTIONS="-r -m 0"即可作为日志服务器 klogd:内

linux系统top命令分析CPU和内存详解

top命令是Linux下常用的性能分析工具,能够实时显示系统中各个进程的资源占用状况,默认linux操作系统提供. 在命令行中直接敲入top回车,即可实时显示系统中各个进程的资源占用状况.如下图: 其中各参数含义分别如下: 第一行top:显示了系统当前时间.系统运行了多长时间.当前登录用户.以及系统在1分钟/5分钟/15分钟内的平均负载 第二行tasks:显示了当前进程数是124个,以及有1个正在运行状态.有123个进程在休眠.0个停止运行.0个处于僵尸状态 第三行cpu(s):显示CPU的状态