UNIX系统的安全审计

xiaotongnini

（１）对系统用户登陆的安全审计
UNIX下系统用户登陆的安全审计工具主要有lastlog和WTMP。
lastlog文件（此文件一般在/var/log目录下，各种UNIX系统可能不同）记录每个用户的最近一次登陆时间和每个用户的最初目的地。当一个用户登陆到UNIX系统时，注册程序在lastlog文件中查找该用户的UID．如果程序找到了该用户的UID，UNIX系统就会为用户显示最后一次登陆的时间等。有些UNIX既显示成功的登陆也显示失败的登陆尝试。
通常用户登陆进系统后就会显示最后一次登陆的时间及IP地址等信息。
WTMP文件（此文件一般在/var/adm目录下，各种UNIX系统可能不同）记录用户登陆和退出时间。它随着用户每一次的登陆和退出会持续增长。在有些UNIX版本中，一些程序如(ftp等)也在WTMP中。
通常使用last和ac命令来访问WTMP文件，last和ac命令会根据WTMP的记录及命令的输入参数产生不同的报告。
（２）对FTP服务的安全审计
FTP要根据具体使用的服务程序来区分它的安全审计，如果不使用系统自带的FTP服务器软件，则一般的FTP服务器软件都有日志记录功能，各种服务器软件可能会有不同的方式和日志文件。这里我们只介绍系统自带的FTP服务器软件。
系统自带的FTP服务器软件一般使用ftpd程序来接受用户的连接，它使用syslog来处理它产生的消息。执行带-l选项的ftpd能激活日志记录功能。在inetd.conf文件调用ftpd的行如下所示：
ftp stream tcp nowait root /etc/ftpd ftpd-l
应该编辑syslog.conf文件加入如下一行：
daemon.info ftplogfile
另外，在有些UNIX版本中，系统可能也会使用WTMP来记录FTP的用户登陆信息。因此这些系统中也可以last命令来查看ftp用户登陆的情况。
（３）对在线用户的安全审计
UTMP文件（此文件一般在/var/log目录下，各种UNIX系统可能不同）记录当前登陆到系统的所有用户。这个文件随着用户进入和离开系统而不断地变化。它不会为系统的用户保持很长的历史记录，只记录此时联机的有那些用户。
通常可以使用用户who或者w命令来查看UTMP的日志记录。
（４）对网络安全的安全审计
UNIX下使用syslog来作为系统的日志工具。syslog能够方便记录各种程序产生的日志。
为了利用syslog，在后台执行一个名为syslogd的守护程序。当syslogd接收到消息时，它检查自己的配置文件syslog.conf，找出消息的响应目标。在大多数的默认配置中，syslog把大多数的消息传递给/var/adm/message文件。大多数的守护程序及各种服务程序的消息一般都记录在这里。另外，我们也可以使用第三方工具来加强网络安全的安全审计，如TCP_Wrapper。

本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u/9618/showart_84951.html