日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

UNIX入侵檢測( 二 )

云知道


crit重要情況,如硬盤錯誤
alert 應(yīng)該被立即改正的問題,如系統(tǒng)數(shù)據(jù)庫破壞
emerg(panic) 緊急情況

記錄行為(舉例)描述
/dev/console發(fā)送消息到控制臺
/var/adm/messages把消息寫到文件/var/adm/messages
@loGhost把消息發(fā)到其它的日志記錄服務(wù)器
fred,user1傳送消息給用戶
*傳送消息給所有的在線用戶有個小命令logger為syslog系統(tǒng)日志文件提供一個shell命令接口,使用戶能創(chuàng)建
日志文件中的條目 。用法:logger 例如:logger This is a test!【UNIX入侵檢測】它將產(chǎn)生一個如下的syslog紀錄:Apr 26 11:22:34 only_you: This is a test!更詳細的幫助信息請man syslogd,man syslog.conf3.Logcheck3.1 logcheck介紹Logcheck是一軟件包,用來實現(xiàn)自動檢查日志文件,以發(fā)現(xiàn)安全入侵和不正常的活
動 。Logcheck用logtail程序來記錄讀到的日志文件的位置,下一次運行的時候從記錄
下的位置開始處理新的信息 。所有的源代碼都是公開的,實現(xiàn)方法也非常簡單 。Logcheck SHELL腳本和logtail.c程序用關(guān)鍵字查找的方法進行日志檢測 。在這兒
提到的關(guān)鍵字就是指在日志文件中出現(xiàn)的關(guān)鍵字,會觸發(fā)向系統(tǒng)管理員發(fā)的報警信息 。
Logcheck的配置文件自帶了缺省的關(guān)鍵字,適用于大多數(shù)的*inx系統(tǒng) 。但是最好還是自
己檢查一下配置文件,看看自帶的關(guān)鍵字是否符合自己的需要 。Logcheck腳本是簡單的SHELL程序,logtail.c程序只調(diào)用了標準的ANSI C函數(shù) 。
Logcheck要在cron守護進程中配置,至少要每小時運行一次 。腳本用簡單的grep命令來
從日志文件檢查不正常的活動,如果發(fā)現(xiàn)了就發(fā)MAIL給管理員 。如果沒有發(fā)現(xiàn)異?;?
動,就不會收到MAIL 。3.2 安裝和配置logcheck3.2.1 下載Logcheck下載網(wǎng)址 下載后放在/backup目錄 。3.2.2 安裝以root用戶身份登錄,[root@only_you /root]# tar zxvf /backup/logcheck-1.1.1.tar.gz
[root@only_you /root]# cd logcheck-1.1.1
[root@only_you logcheck-1.1.1] make Linux //在Linux平臺下使用
make install SYSTYPE=linux //缺省安裝目錄是/usr/local/etc
make[1]: Entering Directory `/root/logcheck-1.1.1'
Making linux
cc -O -o ./src/logtail ./src/logtail.c
Creating temp directory /usr/local/etc/tmp //在/usr/local/etc下創(chuàng)建目錄
tmp
Setting temp directory permissions
chmod 700 /usr/local/etc/tmp
Copying files
cp ./systems/linux/logcheck.hacking /usr/local/etc //拷貝文件到
/usr/local/etc目錄
cp ./systems/linux/logcheck.violations /usr/local/etc
cp ./systems/linux/logcheck.violations.ignore /usr/local/etc
cp ./systems/linux/logcheck.ignore /usr/local/etc
cp ./systems/linux/logcheck.sh /usr/local/etc
cp ./src/logtail /usr/local/bin //把logtail程序拷貝到/usr/local/bin目錄
Setting permissions
chmod 700 /usr/local/etc/logcheck.sh //logcheck的腳本
chmod 700 /usr/local/bin/logtail //修改文件訪問權(quán)限,確認只有root用戶才
能操作
chmod 600 /usr/local/etc/logcheck.violations.ignore //不同的配置文件
chmod 600 /usr/local/etc/logcheck.violations
chmod 600 /usr/local/etc/logcheck.hacking3.2.3 程序文件介紹logcheck.sh 主腳本文件 。控制所有的處理過程,用grep命令檢查日志文件,發(fā)現(xiàn)
問題報告系統(tǒng)管理員 。由cron定時啟動 。logtail 記錄日志文件上次處理到的位置 。被logcheck程序調(diào)用,避免重復(fù)處理已
處理過的日志文件 。所有的日志文件都由此程序處理,在同一目錄下會產(chǎn)生文件

推薦閱讀