日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

UNIX入侵檢測

云知道


1.概述
入侵檢測(Intrusion Detection),顧名思義,便是對入侵行為的發(fā)覺 。它通過
對計算機網(wǎng)絡或計算機系統(tǒng)中的若干關鍵點收集信息并對其進行分析,從中發(fā)現(xiàn)網(wǎng)絡或
系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象 。進行入侵檢測的軟件與硬件的組合
便是入侵檢測系統(tǒng)(Intrusion Detection System,簡稱IDS) 。與其他安全產(chǎn)品不同的
是,入侵檢測系統(tǒng)需要更多的智能,它必須可以將得到的數(shù)據(jù)進行分析,并得出有用的
結(jié)果 。一個合格的入侵檢測系統(tǒng)能大大的簡化管理員的工作,保證網(wǎng)絡安全的運行 。
日志是使系統(tǒng)順利運行的重要保障 。它會告訴我們系統(tǒng)發(fā)生了什么和什么沒有發(fā)
生 。然而,由于日志記錄增加得太快了,鋪天蓋地的日志使系統(tǒng)管理員茫然無措,最終
使日志成為浪費大量磁盤空間的垃圾 。日志具有無可替代的價值,但不幸的是它們經(jīng)常
被忽略,因為系統(tǒng)管理員在并不充裕的時間里難以查看大量的信息 。標準的日志功能不
能自動過濾和檢查日志記錄,并提供系統(tǒng)管理員所需要的信息 。對于入侵者來說,要做的第一件事就是清除入侵的痕跡 。這需要入侵者獲得root權
限,而一旦系統(tǒng)日志被修改,就無法追查到攻擊的情況 。因此,好的系統(tǒng)管理員應該建
立日志文件檢測 。有很多工具可以實現(xiàn)日志檢測的功能,其中就有Logcheck和Swatch 。
本文將對Logcheck和Swatch逐一進行介紹 。2.日志文件系統(tǒng)審計和日志功能對于系統(tǒng)來說是非常重要的,可以把感興趣的操作都記錄下來,供
分析和檢查 。Unix采用了syslog工具來實現(xiàn)此功能,如果配置正確的話,所有在主機上
發(fā)生的事情都會被記錄下來,不管是好的還是壞的 。Syslog已被許多日志系統(tǒng)采納,它用在許多保護措施中--任何程序都可以通過
syslog記錄事件 。Syslog可以記錄系統(tǒng)事件,可以寫到一個文件或設備中,或給用戶發(fā)
送一個信息 。它能記錄本地事件或通過網(wǎng)絡紀錄另一個主機上的事件 。Syslog依據(jù)兩個重要的文件:/sbin/syslogd(守護進程)和/etc/syslog.conf配
置文件,習慣上,多數(shù)syslog信息被寫到/var/adm或/var/log目錄下的信息文件中
(messages.*) 。一個典型的syslog紀錄包括生成程序的名字和一個文本信息 。它還包
括一個設備和一個行為級別(但不在日志中出現(xiàn)) 。/etc/syslog.conf的一般格式如下:設備.行為級別 [;設備.行為級別]記錄行為

設備 描述
auth 認證系統(tǒng):login、su、getty等,即詢問用戶名和口令
authpriv同LOG_AUTH,但只登錄到所選擇的單個用戶可讀的文件中
cron cron守護進程
daemon其他系統(tǒng)守護進程,如routed
kern內(nèi)核產(chǎn)生的消息
lpr 打印機系統(tǒng):lpr、lpd
mail電子郵件系統(tǒng)
news網(wǎng)絡新聞系統(tǒng)
syslog由syslogd產(chǎn)生的內(nèi)部消息
user隨機用戶進程產(chǎn)生的消息
uucpUUCP子系統(tǒng)
local0~local7 為本地使用保留

行為級別描述
debug 包含調(diào)試的信息,通常旨在調(diào)試一個程序時使用
info情報信息
notice 不是錯誤情況,但是可能需要處理
warn(warning) 警告信息
err(error) 錯誤信息

推薦閱讀