免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
查看: 1309 | 回复: 0

linux系统安全(一): 安装与设置 [复制链接]

论坛徽章:
0
发表于 2008-06-19 14:42 |显示全部楼层

linux系统安全(一): 安装与设置





  




未显示需要 JavaScript 的文档选项
级别: 初级
晋亮
(
[email=sound810@sina.com?subject=安装与设置&cc=]sound810@sina.com[/email]
), 网络安全工程师
2003 年 1 月 09 日
我们把主要精力放在用Linux搭建安全的服务器上面。我们通过系统设置和一些共享的安全软件固化我们的系统,使其能做到真正的安全。第一部分主要从安装和设置方面阐述 Linux 作为服务器应注意的方面。
目前随着网络的逐渐普及,安全问题越来越引起了人们的注意。Linux作为免费的开放源代码操作系统,正在被越来越多地用作服务器平台,而且随着Linux下应用软件的多样化,很多人(包括笔者)也喜欢使用Linux作为桌面。在这一系列文章中我们把主要精力放在用Linux搭建安全的服务器上面。我们通过系统设置和一些共享的安全软件固化我们的系统,使其能做到真正的安全。由于篇幅原因,不可能论述的很详细,我在这里只是把我们要注意和关心的地方举出来,至于一些其他的常识性的细节不再赘述。
第一部分主要从安装和设置方面阐述 Linux 作为服务器应注意的方面。
1 Linux服务器的安装
大家一定都安装过Linux系统,也许您可能已经很熟练了,但是在这里我们提出一些在安装过程中应该注意的问题:
首先在分区的时候不要只图简单把所有的空间都留给根分区,应该把不同的部分放在不同的分区。强烈的建议您把"/var"和"/tmp"放在不同的分区,如果您的服务器有较多的用户访问,这几乎是您所必须做的。另外最好把"/var"和"/usr"放在不同的分区,这样可以避免由于日志或用户的原因是您的硬盘被占满或直接导致您的服务器性能降低。对分区的最后一点警告就是如果您要提供一种或多种服务,一定要把这个服务有关的东西放在单独一个分区,例如:您如果要建一台WWW服务器,您在分区时候一定要留一个单独的分区(例如:"/www"),将来您可以用chroot提高这种服务的安全性。
另外一个重要的问题是安装时软件包的选择。我们用Redhat作为例子,出于安全和性能的考虑,您必须选择"Select individual package"单选框,这样您就可以进行软件包的选择。有些软件是您不必安装的,有些软件是安装后必须卸载的,有些是安装后必须安装的。我们下面给出清单:
不必安装的软件包:
Applications/Archiving: dump
Applications/File: git
Applications/Internet: finger, ftp, fwhois, ncftp, rsh, rsync, talk, telnet
Applications/Publishing: ghostscript, ghostscript-fonts, mpage, rhs-printfilters
Applications/System: arpwatch, bind-utils, knfsd-clients, procinfo, rdate, rdist, screen, ucd-snmp-utils
Documentation/indexhtml
System Environment/Base: chkfontpath, yp-tools
System Environment/Daemons: XFree86-xfs, lpr, pidentd, portmap, routed, rusers, rwho, tftp, ucd-snmp, ypbind
System Environment/Libraries: XFree86-libs, libpng
User Interface/X: XFree86-75dpi-fonts, urw-fonts
安装后必须卸载的软件包:
pump  apmd  isapnptools  redhat-logos  mt-st  kernel-pcmcia-cs  setserial
redhat-release  eject  linuxconf  kudzu  gd  bc  getty_ps  raidtools     pciutils  mailcap  setconsole  gnupg
安装后必须安装的软件包(有了这些软件包我们才可以编译程序):
autoconf-2.13-5.noarch.rpm  m4-1.4-12.i386.rpm  automake-1.4-5.noarch.rpm
dev86-0.14.9-1.i386.rpm  bison-1.28-1.i386.rpm  byacc-1.9-11.i386.rpm
cdecl-2.5-9.i386.rpm  cpp-1.1.2-24.i386.rpm  cproto-4.6-2.i386.rpm
ctags-3.2-1.i386.rpm  egcs-1.1.2-24.i386.rpm  ElectricFence-2.1-1.i386.rpm
flex-2.5.4a-7.i386.rpm  gdb-4.18-4.i386.rpm  kernel-headers-2.2.12-20.i386.rpm
glibc-devel-2.1.2-11.i386.rpm  make-3.77-6.i386.rpm  patch-2.5-9.i386.rpm
在您对您的服务器的所有工作做完以后(以后不再有编译的需要了),把上面这些软件包从您的系统中删除。这样即使有人侵入了您的系统,他也不能在上面编译程序,而且这样还可以使您以后进行完整性检查的速度加快。您可以把上面这些软件包保存在活动介质上以便以后使用,可能上面这些不是最新的版本,您可以去下载目前最新最稳定的版本。




回页首
2 系统设置
2.1 口令和帐号
首先你必须设置BIOS的口令,现在的个人计算机系统大都支持这种设置。
其次你必须为你的lilo的单用户模式设置口令限制,在/etc/lilo.conf中第一个引导的image前面加入下面的信息:
restricted
passwd="your password"
"your passwd"是您所所要设定的单用户模式引导的密码。设置完成用lilo -u使lilo重新读取/etc/lilo.conf中的信息。
另外就是用户的密码包括根用户的密码,系统默认的用户密码是5位。您可以编辑"/etc/login.defs"文件,把最小口令长度由5改成8。找到 PASS_MIN_LEN 5 这一行,改为:PASS_MIN_LEN 8 。"login.defs"是很重要的配置文件。可以在这个文件中设定一些其它的安全策略,比如:口令的有效期。
口令的选择不应包括字典中有的词汇,这样是十分危险的。正确的口令应该足够长,比且使用一些特殊字符。
系统中有许多预置帐号,如果你没有使用,一定要将这些帐号删掉。这些没有安全的口令对系统的安全性是一个巨大的挑战。
一个值得注意的命令是chage.您可以使用它设置帐号的时间限制。(具体见man chage).
对于根用户而言,您可以设置/etc/securetty.这个文件可以限制根用户登陆的控制台。您可以用"#"符号注释掉不许可根用户登陆的控制台号。
可以通过下面的脚本禁止对控制台的访问:
# !/bin/sh
cd /etc/pam.d
for i in * ; do
sed '/[^#].*pam_console.so/s/^/#/'  foo && mv foo $I
done
然后禁止使用所有的控制台程序,如:shutdown和halt。可以运行下面的命令来实现:
[root@sound]# rm -f /etc/security/console.apps/servicename
截短您的"~/.bash_history"文件,这个文件中保存着以前使用的命令列表。截短这个文件可以使您以前执行过的命令暴露在别人眼光下的机会减小.(在您的命令中很可能包括象密码信息这样的保密信息)。通过编辑/etc/profile的下面两项可以做到这一点:
HISTFILESIZE=20
HISTSIZE=20
__
通过下面的措施可以防止任何人都可以su为root:
1编辑su文件(vi /etc/pam.d/su)在文件的头部加入下面两行:
auth sufficient /lib/security/pam_rootok.so debug
auth required /lib/security/pam_wheel.so group=wheel
2 然后把您想要执行su成为root的用户放入wheel组
[root@sound]# usermod -G10 admin
2.2 权限与文件系统
linux的ext2文件系统有属性功能这个特点。我们可以用lsattr命令列出文件的属性,用chattr命令改变文件的属性。文件系统的属性有很多种,我们在这里要注意的是两个属性:
a   只可添加属性
i   不可改变属性
对于系统种的配置文件,最好设置不可改变属性,而对于一些日志文件最好设置只可添加属性。下面是两个具体例子:
chattr  +i  /etc/inetd.conf
chattr  +a  /var/log/secure
如果要去掉这些属性,将上面命令中的"+"号变为"-"号。
另外我们要对mount的文件系统做限制,这个配置在/etc/fstab中。通过设置mount选项我们可以使我们mount上来的文件系统更安全。常用的mount选项有default,nodev,noexec,nosuid,noatime,ro,user等。
我们还可以对系统资源做限制使我们的系统更加安全,看下面的方法:
编辑limits.conf文件(vi /etc/security/limits.conf),加入或改变下面这些行:
* hard core 0
* hard rss 5000
* hard nproc 20
这些行的的意思是:"core 0"表示禁止创建core文件;"nproc 20"把最多进程数限制到20;"rss 5000"表示除了root之外,其他用户都最多只能用5M内存。上面这些都只对登录到系统中的用户有效。通过上面这些限制,就能更好地控制系统中的用户对进程、core文件和内存的使用情况。星号"*"表示的是所有登录到系统中的用户。
然后必须编辑"/etc/pam.d/login"文件,在文件末尾加入下面这一行:
session required /lib/security/pam_limits.so
2.3 其他一些设置
1 在/etc/inetd.conf中注释掉不需要的服务
2 在/etc/host.allow和/etc/host.deny中设置可以访问您的系统的计算机。
3 通过下面的方法使系统对ping没有反应 echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
4_用下面的命令在你的服务器上禁止IP原路径路由:
for f in /proc/sys/net/ipv4/conf/*/accept_source_route; do
echo 0 > $f
done
__把上面的命令加到"/etc/rc.d/rc.local"文件中去.
5 用下面的方法提高系统防止SYN攻击的能力:
[root@sound]# echo 1 > /proc/sys/net/ipv4/tcp_syncookies
把这个命令加入"/etc/rc.d/rc.local"文件中
6 使Control-Alt-Delete软关机无效
编辑inittab文件(vi /etc/inittab)把这一行:
ca::ctrlaltdel:/sbin/shutdown -t3 -r now
改为:
#ca::ctrlaltdel:/sbin/shutdown -t3 -r now
用下面的命令使改变生效:
[root@sound]# /sbin/init q
7 去掉用户提示信息
编辑"/ect/rc.d/rc.local"文件,在下面这些行的前面加上"#":
--linux系统安全(一): 安装与设置




文档选项

  


将此页作为电子邮件发送


未显示需要 JavaScript 的文档选项
级别: 初级
晋亮
(
[email=sound810@sina.com?subject=安装与设置&cc=]sound810@sina.com[/email]
), 网络安全工程师
2003 年 1 月 09 日
我们把主要精力放在用Linux搭建安全的服务器上面。我们通过系统设置和一些共享的安全软件固化我们的系统,使其能做到真正的安全。第一部分主要从安装和设置方面阐述 Linux 作为服务器应注意的方面。
目前随着网络的逐渐普及,安全问题越来越引起了人们的注意。Linux作为免费的开放源代码操作系统,正在被越来越多地用作服务器平台,而且随着Linux下应用软件的多样化,很多人(包括笔者)也喜欢使用Linux作为桌面。在这一系列文章中我们把主要精力放在用Linux搭建安全的服务器上面。我们通过系统设置和一些共享的安全软件固化我们的系统,使其能做到真正的安全。由于篇幅原因,不可能论述的很详细,我在这里只是把我们要注意和关心的地方举出来,至于一些其他的常识性的细节不再赘述。
第一部分主要从安装和设置方面阐述 Linux 作为服务器应注意的方面。
1 Linux服务器的安装
大家一定都安装过Linux系统,也许您可能已经很熟练了,但是在这里我们提出一些在安装过程中应该注意的问题:
首先在分区的时候不要只图简单把所有的空间都留给根分区,应该把不同的部分放在不同的分区。强烈的建议您把"/var"和"/tmp"放在不同的分区,如果您的服务器有较多的用户访问,这几乎是您所必须做的。另外最好把"/var"和"/usr"放在不同的分区,这样可以避免由于日志或用户的原因是您的硬盘被占满或直接导致您的服务器性能降低。对分区的最后一点警告就是如果您要提供一种或多种服务,一定要把这个服务有关的东西放在单独一个分区,例如:您如果要建一台WWW服务器,您在分区时候一定要留一个单独的分区(例如:"/www"),将来您可以用chroot提高这种服务的安全性。
另外一个重要的问题是安装时软件包的选择。我们用Redhat作为例子,出于安全和性能的考虑,您必须选择"Select individual package"单选框,这样您就可以进行软件包的选择。有些软件是您不必安装的,有些软件是安装后必须卸载的,有些是安装后必须安装的。我们下面给出清单:
不必安装的软件包:
Applications/Archiving: dump
Applications/File: git
Applications/Internet: finger, ftp, fwhois, ncftp, rsh, rsync, talk, telnet
Applications/Publishing: ghostscript, ghostscript-fonts, mpage, rhs-printfilters
Applications/System: arpwatch, bind-utils, knfsd-clients, procinfo, rdate, rdist, screen, ucd-snmp-utils
Documentation/indexhtml
System Environment/Base: chkfontpath, yp-tools
System Environment/Daemons: XFree86-xfs, lpr, pidentd, portmap, routed, rusers, rwho, tftp, ucd-snmp, ypbind
System Environment/Libraries: XFree86-libs, libpng
User Interface/X: XFree86-75dpi-fonts, urw-fonts
安装后必须卸载的软件包:
pump  apmd  isapnptools  redhat-logos  mt-st  kernel-pcmcia-cs  setserial
redhat-release  eject  linuxconf  kudzu  gd  bc  getty_ps  raidtools     pciutils  mailcap  setconsole  gnupg
安装后必须安装的软件包(有了这些软件包我们才可以编译程序):
autoconf-2.13-5.noarch.rpm  m4-1.4-12.i386.rpm  automake-1.4-5.noarch.rpm
dev86-0.14.9-1.i386.rpm  bison-1.28-1.i386.rpm  byacc-1.9-11.i386.rpm
cdecl-2.5-9.i386.rpm  cpp-1.1.2-24.i386.rpm  cproto-4.6-2.i386.rpm
ctags-3.2-1.i386.rpm  egcs-1.1.2-24.i386.rpm  ElectricFence-2.1-1.i386.rpm
flex-2.5.4a-7.i386.rpm  gdb-4.18-4.i386.rpm  kernel-headers-2.2.12-20.i386.rpm
glibc-devel-2.1.2-11.i386.rpm  make-3.77-6.i386.rpm  patch-2.5-9.i386.rpm
在您对您的服务器的所有工作做完以后(以后不再有编译的需要了),把上面这些软件包从您的系统中删除。这样即使有人侵入了您的系统,他也不能在上面编译程序,而且这样还可以使您以后进行完整性检查的速度加快。您可以把上面这些软件包保存在活动介质上以便以后使用,可能上面这些不是最新的版本,您可以去下载目前最新最稳定的版本。




回页首
2 系统设置
2.1 口令和帐号
首先你必须设置BIOS的口令,现在的个人计算机系统大都支持这种设置。
其次你必须为你的lilo的单用户模式设置口令限制,在/etc/lilo.conf中第一个引导的image前面加入下面的信息:
restricted
passwd="your password"
"your passwd"是您所所要设定的单用户模式引导的密码。设置完成用lilo -u使lilo重新读取/etc/lilo.conf中的信息。
另外就是用户的密码包括根用户的密码,系统默认的用户密码是5位。您可以编辑"/etc/login.defs"文件,把最小口令长度由5改成8。找到 PASS_MIN_LEN 5 这一行,改为:PASS_MIN_LEN 8 。"login.defs"是很重要的配置文件。可以在这个文件中设定一些其它的安全策略,比如:口令的有效期。
口令的选择不应包括字典中有的词汇,这样是十分危险的。正确的口令应该足够长,比且使用一些特殊字符。
系统中有许多预置帐号,如果你没有使用,一定要将这些帐号删掉。这些没有安全的口令对系统的安全性是一个巨大的挑战。
一个值得注意的命令是chage.您可以使用它设置帐号的时间限制。(具体见man chage).
对于根用户而言,您可以设置/etc/securetty.这个文件可以限制根用户登陆的控制台。您可以用"#"符号注释掉不许可根用户登陆的控制台号。
可以通过下面的脚本禁止对控制台的访问:
# !/bin/sh
cd /etc/pam.d
for i in * ; do
sed '/[^#].*pam_console.so/s/^/#/'  foo && mv foo $I
done
然后禁止使用所有的控制台程序,如:shutdown和halt。可以运行下面的命令来实现:
[root@sound]# rm -f /etc/security/console.apps/servicename
截短您的"~/.bash_history"文件,这个文件中保存着以前使用的命令列表。截短这个文件可以使您以前执行过的命令暴露在别人眼光下的机会减小.(在您的命令中很可能包括象密码信息这样的保密信息)。通过编辑/etc/profile的下面两项可以做到这一点:
HISTFILESIZE=20
HISTSIZE=20
__
通过下面的措施可以防止任何人都可以su为root:
1编辑su文件(vi /etc/pam.d/su)在文件的头部加入下面两行:
auth sufficient /lib/security/pam_rootok.so debug
auth required /lib/security/pam_wheel.so group=wheel
2 然后把您想要执行su成为root的用户放入wheel组
[root@sound]# usermod -G10 admin
2.2 权限与文件系统
linux的ext2文件系统有属性功能这个特点。我们可以用lsattr命令列出文件的属性,用chattr命令改变文件的属性。文件系统的属性有很多种,我们在这里要注意的是两个属性:
a   只可添加属性
i   不可改变属性
对于系统种的配置文件,最好设置不可改变属性,而对于一些日志文件最好设置只可添加属性。下面是两个具体例子:
chattr  +i  /etc/inetd.conf
chattr  +a  /var/log/secure
如果要去掉这些属性,将上面命令中的"+"号变为"-"号。
另外我们要对mount的文件系统做限制,这个配置在/etc/fstab中。通过设置mount选项我们可以使我们mount上来的文件系统更安全。常用的mount选项有default,nodev,noexec,nosuid,noatime,ro,user等。
我们还可以对系统资源做限制使我们的系统更加安全,看下面的方法:
编辑limits.conf文件(vi /etc/security/limits.conf),加入或改变下面这些行:
* hard core 0
* hard rss 5000
* hard nproc 20
这些行的的意思是:"core 0"表示禁止创建core文件;"nproc 20"把最多进程数限制到20;"rss 5000"表示除了root之外,其他用户都最多只能用5M内存。上面这些都只对登录到系统中的用户有效。通过上面这些限制,就能更好地控制系统中的用户对进程、core文件和内存的使用情况。星号"*"表示的是所有登录到系统中的用户。
然后必须编辑"/etc/pam.d/login"文件,在文件末尾加入下面这一行:
session required /lib/security/pam_limits.so
2.3 其他一些设置
1 在/etc/inetd.conf中注释掉不需要的服务
2 在/etc/host.allow和/etc/host.deny中设置可以访问您的系统的计算机。
3 通过下面的方法使系统对ping没有反应 echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
4_用下面的命令在你的服务器上禁止IP原路径路由:
for f in /proc/sys/net/ipv4/conf/*/accept_source_route; do
echo 0 > $f
done
__把上面的命令加到"/etc/rc.d/rc.local"文件中去.
5 用下面的方法提高系统防止SYN攻击的能力:
[root@sound]# echo 1 > /proc/sys/net/ipv4/tcp_syncookies
把这个命令加入"/etc/rc.d/rc.local"文件中
6 使Control-Alt-Delete软关机无效
编辑inittab文件(vi /etc/inittab)把这一行:
ca::ctrlaltdel:/sbin/shutdown -t3 -r now
改为: #ca::ctrlaltdel:/sbin/shutdown -t3 -r now
用下面的命令使改变生效: [root@sound]# /sbin/init q
7 去掉用户提示信息
编辑"/ect/rc.d/rc.local"文件,在下面这些行的前面加上"#":
--
# This will overwrite /etc/issue at every boot. So, make any changes you
# want to make to /etc/issue here or you will lose them when you reboot.
#echo "" > /etc/issue
#echo "$R" >> /etc/issue
#echo "Kernel $(uname -r) on $a $(uname -m)" >> /etc/issue
#
#cp -f /etc/issue /etc/issue.net
#echo >> /etc/issue
--
然后删除"/etc"目录下的"issue.net"和"issue"文件: "/etc/issue.net"文件是用户从网络登录计算机时(例如:telnet、SSH),看到的登录提示。同样在"/etc"目录下还有一个"issue"文件,是用户从本地登录时看到的提示。这两个文件都是文本文件,可以根据需要改变。但是,如果想删掉这两个文件,必须向上面介绍的那样把"/etc/rc.d/rc.local"脚本中的那些行注释掉,否则每次重新启动的时候,系统又会重新创建这两个文件。
# This will overwrite /etc/issue at every boot. So, make any changes you
# want to make to /etc/issue here or you will lose them when you reboot.
#echo "" > /etc/issue
#echo "$R" >> /etc/issue
#echo "Kernel $(uname -r) on $a $(uname -m)" >> /etc/issue
#
#cp -f /etc/issue /etc/issue.net
#echo >> /etc/issue
--
然后删除"/etc"目录下的"issue.net"和"issue"文件: "/etc/issue.net"文件是用户从网络登录计算机时(例如:telnet、SSH),看到的登录提示。同样在"/etc"目录下还有一个"issue"文件,是用户从本地登录时看到的提示。这两个文件都是文本文件,可以根据需要改变。但是,如果想删掉这两个文件,必须向上面介绍的那样把"/etc/rc.d/rc.local"脚本中的那些行注释掉,否则每次重新启动的时候,系统又会重新创建这两个文件。

linux系统安全(二): 日志




文档选项





将此页作为电子邮件发送


未显示需要 JavaScript 的文档选项
级别: 初级
晋亮
(
[email=sound810@sina.com?subject=日志&cc=]sound810@sina.com[/email]
), 网络安全工程师
2003 年 1 月 09 日
我们主要讲一下Linux环境中的系统记帐和系统日志管理以及怎么用一些工具更加方便有效的管理日志信息。
当我们用上面的方法进行了 Linux 服务器的安装和一些基本的设置后,我们的服务器应该说来是比较安全的。但是总是还会有黑客可以通过各种方法利用系统管理员的疏忽侵入我们的系统。他们的一举一动都会记录到系统的日志之中,尽管他们可能可以改变这些日志信息,甚至用自己的程序替换掉我们系统本身的命令程序,但是通过日志我们总还是能找到一些蛛丝马迹。下面我们主要讲一下 Linux 环境中的系统记帐和系统日志管理以及怎么用一些工具更加方便有效的管理日志信息。
1 系统记帐
最初开发的系统记帐用于跟踪用户资源消费情况,从用户帐号中提取费用为目地的。现在我们可以把它用于安全目的,给我们提供有关在系统中发生的各种活动的有价值信息。
系统记帐主要非为两类:
1) 连接记帐
连接记帐是跟踪当前用户当前对话、用户登录和退出的活动。在 Linux 系统中使用 utmp (动态用户对话)和 wtmp (登录/退出日志记录)工具来完成这一记帐过程。Wtmp 工具同时维护重新引导和系统状态变化信息。各种程序对这些工具进行刷新和维护,因此无须进行特殊的后台进程或程序。然而,utmp 和 wtmp 输出结果文件必须存在,如果这些文件不存在会关闭连接记帐。与 utmp 和 wtmp 有关的所有数据将分别保存在 /var/run/utmp 和 /var/log/wtmp 中。这些文件归根用户所有。这些文件中的数据是用户不可读的,但也有工具可以转换成可读的形式。
dump-utmp 可以转换连接记帐数据为可读的 ASCII 格式数据。
ac 命令提供了有关用户连接的大概统计,我们可以使用带有标志 d 和 p 的 ac 命令。标志 d 显示了一天的总连接统计,标志 p 显示了每一个用户的连接时间。这种统计信息的方式对了解与探测入侵有关的用户情况及其他活动很有帮助。Last 和 who 是出于安全角度定期使用的最常用命令。
last 命令提供每一个用户的登录时间,退出登录时间,登录位置,重新引导系统及运行级别变化的信息。last -10 表示 last 的最多输出结果为最近的 10 条信息。缺省时 last 将列出在 /var/log/wtmp 中记录的每一连接和运行级别的变化。从安全角度考虑,last 命令提供了迅速查看特定系统连接活动的一种方式。观察每天的输出结果是个好习惯,从中可以捕获异常输入项。Last 命令的 -x 选项可以通知系统运行级别的变化。
who 命令主要作用是报告目前正在登录的用户、登录设备、远程登录主机名或使用的 Xwindows 的 X 显示值、会话闲置时间以及会话是否接受 write 或 talk 信息。
例如: who -iwH 的输出结果:
USER     MESG    LINE   LOGIN-TIME      IDLE    FROM
Denny      -     tty1   Feb 18 08:42    old
这就表示用户 Denny 不能接受 write 或 talk 信息,2月18日8:42 从 tty1 登录。该命令的安全值提供了用户连接的大致情况,这也为监视可疑活动提供了条件。 其他的有关命令有 lastlog 命令,该命令报告了有关 /var/log/lastlog 中记录的最后一次登录的数据信息。
2) 进程记帐
进程记帐是对进程活动的记录。原数据保存在 /var/log/pacct 文件中,其许可权限为 600。该文件的存在是进程记帐有效的保障。与连接记帐不同,进程记帐必须处于打开状态,使用下面的命令设置打开状态.
#    accton  /var/log/pacct
可以使用自选文件代替 /var/log/pacct,但必须记住这一文件并且设置适当的许可权限。必须在每次引导的时候执行该命令,可以在 /etc/rc.d/rc.local 中输入以下脚本:
#  initiate  process account
if  [ -x  /sbin/accton  ]
then
/sbin/accton   /var/log/pacct
echo  "process  accounting  initiated"
fi
一旦在系统中配置进程记帐后,将使用 3 个命令解释在 /var/log/pacct 中的非用户可读的原数据。这些命令分别为 dump-acct,该命令与 dump-utmp 完全相似,sa 命令用于统计系统进程记帐的大致情况,最后一个是 lastcomm 命令列出了系统执行的命令。
1 sa 命令
与 ac 命令一样,sa 是一个统计命令。该命令可以获得每个用户或每个命令的进程使用的大致情况,并且提供了系统资源的消费信息。在很大程度上,sa 又是一个记帐命令,对于识别特殊用户,特别是已知特殊用户使用的可疑命令十分有用。另外,由于信息量很大,需要处理脚本或程序筛选这些信息。
可以用这样的命令单独限制用户:
#    sa -u |grep joe
joe     0.00   cpu   bash
joe     0.00   cpu   ls
joe     0.01   cpu   ls
joe     0.01   cpu   lastcomm
joe     0.01   cpu   tcpdump
joe     0.01   cpu   reboot
输出结果从左到右依次为:用户名、CPU 使用时间秒数、命令(最多为 16 个字符)。
2 lastcomm 命令
与 sa 命令不同,lastcomm 命令提供每一个命令的输出结果,同时打印出与执行每个命令有关的时间印戳。就这一点而说,lastcomm 比 sa 更有安全性。
lastcomm 命令使用命令名,用户名或终端名作为变量。该命令可以查询进程记帐数据库。下面显示 lastcomm joe 的输出结果,每行表示命令的执行情况,从左到右为:用户、设备、使用的 cpu 时间秒数、执行命令的日期和时间。
#   lastcomm joe
reboot     joe    ttyp1    0.01    secs  Fri  Feb 26  18:40
tcpdump   joe    ttyp1    0.01    secs  Fri  Feb 26  18:39
lastcomm  joe    ttyp1    0.01    secs  Fri  Feb 26  18:32
ls        joe    ttyp1    0.01    secs   Fri  Feb 26  18:30
ls        joe    ttyp1    0.00    secs   Fri  Feb 26  18:28
bash      joe    ttyp1    0.00    secs   Fri  Feb 26  18:25
如果系统被入侵,请不要相信在 lastlog、utmp、wtmp、pacct 中记录的信息,但也不要忽略,因为这些信息可能被修改过了。另外有可能有人替换了who程序来掩人耳目。
通常,在已经识别某些可疑活动后,进程记帐可以有效的发挥作用。使用 lastcomm 可以隔绝用户活动或在特定时间执行命令。但是使用该命令必须设置为打开状态。
基本上,/var/log/pacct,/var/run/utmp, /var/log/pacct是动态数据库文件。其中/var/log/pacct和/var/log/wtmp文件随着输入项的增加和修改而增加。问题在于这些文件处于动态增加状态,因此到一定程度就会变的很大。
我们可以通过一个叫 logrotate 的程序来解决上面这个问题,该程序读 /etc/logrotate.conf 配置文件,该配置文件告诉 logrotate 所要读 /etc/logrotate.d 目录中的文件。可以通过它来设定日志文件的循环时间。




回页首
2 系统日志
在 Linux 下使用各种日志文件,有些用于某些特殊用途,例如:/var/log/xferlog 用于记录文件传输协议 FTP 的信息。其他日志文件,例如 /var/log/messages 文件通常包含许多系统和内核工具的输入项。这些日志文件为系统的安全状态提供了信息。
我们主要讲解两个日志守护程序---syslog和klogd------并且简要叙述了由Linux操作系统生成的其他其他日志文件。目的是提供基本的配置情况。
2.1 syslog系统日志工具
大部分的 Linux 系统中都要使用 syslog 工具,它是相当灵活的,能使系统根据不同的日志输入项采取不同的活动。下面将详细讨论syslog 的工作机制以及在配置文件 /etc/syslog.conf 中的配置,还将论述利用 syslog 灵活性和功能性进行工作的各种方法。
1) 概述
非常简单,syslog 工具由一个守护程序组成。它能接受访问系统的日志信息并且根据 /etc/syslog.conf 配置文件中的指令处理这些信息。程序,守护进程和内核提供了访问系统的日志信息。因此,任何希望生成日志信息的程序都可以向 syslog 接口呼叫生成该信息。
通常,syslog 接受来自系统的各种功能的信息,每个信息都包括重要级。/etc/syslog.conf 文件通知 syslogd 如何根据设备和信息重要级别来报告信息。
2) etc/syslog.conf
/etc/syslog.conf 文件使用下面的形式
facility.level    action
空白行和以#开头的行可以忽略。Facility.level 字段也被称做 seletor。应该使用一次或多次 tab 键分隔 facility 和 action。大部分 Linux 使用这些空格为分隔符。现在分析一下 /etc/syslog.conf 中的三个要素。
facility 指定 syslog 功能,主要包括以下这些:
auth  由 pam_pwdb 报告的认证活动。
authpriv 包括特权信息如用户名在内的认证活动
cron  与 cron 和 at 有关的信息。
daemon 与 inetd 守护进程有关的信息。
kern  内核信息,首先通过 klogd 传递。
lpr   与打印服务有关的信息。
mail  与电子邮件有关的信息
mark  syslog 内部功能用于生成时间戳
news  来自新闻服务器的信息
syslog  由 syslog 生成的信息
user   由用户程序生成的信息
uucp   由 uucp 生成的信息
local0----local7   与自定义程序使用,例如使用 local5 做为 ssh 功能
*   通配符代表除了 mark 以外的所有功能
与每个功能对应的优先级是按一定顺序排列的,emerg 是最高级,其次是 alert,依次类推。缺省时,在 /etc/syslog.conf 记录中指定的级别为该级别和更高级别。如果希望使用确定的级别可以使用两个运算符号!(不等)和=。
user.=info
表示告知 syslog 接受所有在 info 级别上的 user 功能信息。
syslog 级别如下:
emerg 或 panic   该系统不可用
alert            需要立即被修改的条件
crit             阻止某些工具或子系统功能实现的错误条件
err             阻止工具或某些子系统部分功能实现的错误条件
warning         预警信息
notice           具有重要性的普通条件
info             提供信息的消息
debug           不包含函数条件或问题的其他信息
none            没有重要级,通常用于排错
*               所有级别,除了none
action字段所表示的活动具有许多灵活性,特别是,可以使用名称管道的作用是可以使 syslogd 生成后处理信息。
syslog 主要支持以下活动
file     指定文件的绝对路径
terminal 或 print    完全的串行或并行设备标志符
@host   远程的日志服务器
username  发送信息到使用 write 的指定用户中
named pipe  指定使用 mkfifo 命令来创建的 FIFO 文件的绝对路径。


3) 调用 syslogd 守护程序
syslog 守护程序是由 /etc/rc.d/init.d/syslog 脚本在运行级2下被调用的,缺省不使用选项。但有两个选项 -r 和 -h 很有用。
如果将要使用一个日志服务器,必须调用 syslogd -r。缺省情况下 syslog 不接受来自远程系统的信息。当指定 -r 选项,syslogd 将会监听从 514 端口上进来的 UDP 包。
如果还希望日志服务器能传送日志信息,可以使用 -h 标志。缺省时,syslogd 将忽略使其从一个远程系统传送日志信息到另一个系统的/etc/syslog.conf 输入项。
4) klogd 守护进程
klogd 守护进程获得并记录 Linux 内核信息。通常,syslogd 会记录 klogd 传来的所有信息,然而,如果调用带有 -f filename 变量的 klogd 时,klogd 就在 filename 中记录所有信息,而不是传给 syslogd。当指定另外一个文件进行日志记录时,klogd 就向该文件中写入所有级别或优先权。Klogd 中没有和 /etc/syslog.conf 类似的配置文件。使用 klogd 而避免使用 syslogd 的好处在于可以查找大量错误。如果有人入侵了内核,使用 klogd 可以修改错误。
5) 其他日志
在 /var/log 和不同版本的系统中以及自己配置的应用程序中都可以找到其他日志文件。当然,/etc/syslog.conf 列出了由 syslogd 管理的所有日志文件名和位置。其他日志由其他应用程序管理。例如在 Redhat6.2 中,apache server 生成 /var/log/htmlaccess.log 文件记录客户访问,生成 /var/log/httpd/error.log 文件在 syslog 以外查找错误。
cron 工具维护的信息日志文件 /var/log/cron。当 Linuxconf 工具记录系统重新配置信息时,将生成日志文件如 /var/log/nerconf.log。samba 在 /var/log/samba 中维护其日志信息。
另外由于 syslogd 在系统非常繁忙时,可能会丢失信息,所以,可以用 cyclog 替换 syslog。
linux系统安全(二): 日志




文档选项





将此页作为电子邮件发送


未显示需要 JavaScript 的文档选项
级别: 初级
晋亮
(
[email=sound810@sina.com?subject=日志&cc=]sound810@sina.com[/email]
), 网络安全工程师
2003 年 1 月 09 日
我们主要讲一下Linux环境中的系统记帐和系统日志管理以及怎么用一些工具更加方便有效的管理日志信息。
当我们用上面的方法进行了 Linux 服务器的安装和一些基本的设置后,我们的服务器应该说来是比较安全的。但是总是还会有黑客可以通过各种方法利用系统管理员的疏忽侵入我们的系统。他们的一举一动都会记录到系统的日志之中,尽管他们可能可以改变这些日志信息,甚至用自己的程序替换掉我们系统本身的命令程序,但是通过日志我们总还是能找到一些蛛丝马迹。下面我们主要讲一下 Linux 环境中的系统记帐和系统日志管理以及怎么用一些工具更加方便有效的管理日志信息。
1 系统记帐
最初开发的系统记帐用于跟踪用户资源消费情况,从用户帐号中提取费用为目地的。现在我们可以把它用于安全目的,给我们提供有关在系统中发生的各种活动的有价值信息。
系统记帐主要非为两类:
1) 连接记帐
连接记帐是跟踪当前用户当前对话、用户登录和退出的活动。在 Linux 系统中使用 utmp (动态用户对话)和 wtmp (登录/退出日志记录)工具来完成这一记帐过程。Wtmp 工具同时维护重新引导和系统状态变化信息。各种程序对这些工具进行刷新和维护,因此无须进行特殊的后台进程或程序。然而,utmp 和 wtmp 输出结果文件必须存在,如果这些文件不存在会关闭连接记帐。与 utmp 和 wtmp 有关的所有数据将分别保存在 /var/run/utmp 和 /var/log/wtmp 中。这些文件归根用户所有。这些文件中的数据是用户不可读的,但也有工具可以转换成可读的形式。
dump-utmp 可以转换连接记帐数据为可读的 ASCII 格式数据。
ac 命令提供了有关用户连接的大概统计,我们可以使用带有标志 d 和 p 的 ac 命令。标志 d 显示了一天的总连接统计,标志 p 显示了每一个用户的连接时间。这种统计信息的方式对了解与探测入侵有关的用户情况及其他活动很有帮助。Last 和 who 是出于安全角度定期使用的最常用命令。
last 命令提供每一个用户的登录时间,退出登录时间,登录位置,重新引导系统及运行级别变化的信息。last -10 表示 last 的最多输出结果为最近的 10 条信息。缺省时 last 将列出在 /var/log/wtmp 中记录的每一连接和运行级别的变化。从安全角度考虑,last 命令提供了迅速查看特定系统连接活动的一种方式。观察每天的输出结果是个好习惯,从中可以捕获异常输入项。Last 命令的 -x 选项可以通知系统运行级别的变化。
who 命令主要作用是报告目前正在登录的用户、登录设备、远程登录主机名或使用的 Xwindows 的 X 显示值、会话闲置时间以及会话是否接受 write 或 talk 信息。
例如: who -iwH 的输出结果:
USER     MESG    LINE   LOGIN-TIME      IDLE    FROM
Denny      -     tty1   Feb 18 08:42    old
这就表示用户 Denny 不能接受 write 或 talk 信息,2月18日8:42 从 tty1 登录。该命令的安全值提供了用户连接的大致情况,这也为监视可疑活动提供了条件。 其他的有关命令有 lastlog 命令,该命令报告了有关 /var/log/lastlog 中记录的最后一次登录的数据信息。
2) 进程记帐
进程记帐是对进程活动的记录。原数据保存在 /var/log/pacct 文件中,其许可权限为 600。该文件的存在是进程记帐有效的保障。与连接记帐不同,进程记帐必须处于打开状态,使用下面的命令设置打开状态.
#    accton  /var/log/pacct
可以使用自选文件代替 /var/log/pacct,但必须记住这一文件并且设置适当的许可权限。必须在每次引导的时候执行该命令,可以在 /etc/rc.d/rc.local 中输入以下脚本:
#  initiate  process account
if  [ -x  /sbin/accton  ]
then
/sbin/accton   /var/log/pacct
echo  "process  accounting  initiated"
fi
一旦在系统中配置进程记帐后,将使用 3 个命令解释在 /var/log/pacct 中的非用户可读的原数据。这些命令分别为 dump-acct,该命令与 dump-utmp 完全相似,sa 命令用于统计系统进程记帐的大致情况,最后一个是 lastcomm 命令列出了系统执行的命令。
1 sa 命令
与 ac 命令一样,sa 是一个统计命令。该命令可以获得每个用户或每个命令的进程使用的大致情况,并且提供了系统资源的消费信息。在很大程度上,sa 又是一个记帐命令,对于识别特殊用户,特别是已知特殊用户使用的可疑命令十分有用。另外,由于信息量很大,需要处理脚本或程序筛选这些信息。
可以用这样的命令单独限制用户:
#    sa -u |grep joe
joe     0.00   cpu   bash
joe     0.00   cpu   ls
joe     0.01   cpu   ls
joe     0.01   cpu   lastcomm
joe     0.01   cpu   tcpdump
joe     0.01   cpu   reboot
输出结果从左到右依次为:用户名、CPU 使用时间秒数、命令(最多为 16 个字符)。
2 lastcomm 命令
与 sa 命令不同,lastcomm 命令提供每一个命令的输出结果,同时打印出与执行每个命令有关的时间印戳。就这一点而说,lastcomm 比 sa 更有安全性。
lastcomm 命令使用命令名,用户名或终端名作为变量。该命令可以查询进程记帐数据库。下面显示 lastcomm joe 的输出结果,每行表示命令的执行情况,从左到右为:用户、设备、使用的 cpu 时间秒数、执行命令的日期和时间。
#   lastcomm joe
reboot     joe    ttyp1    0.01    secs  Fri  Feb 26  18:40
tcpdump   joe    ttyp1    0.01    secs  Fri  Feb 26  18:39
lastcomm  joe    ttyp1    0.01    secs  Fri  Feb 26  18:32
ls        joe    ttyp1    0.01    secs   Fri  Feb 26  18:30
ls        joe    ttyp1    0.00    secs   Fri  Feb 26  18:28
bash      joe    ttyp1    0.00    secs   Fri  Feb 26  18:25
如果系统被入侵,请不要相信在 lastlog、utmp、wtmp、pacct 中记录的信息,但也不要忽略,因为这些信息可能被修改过了。另外有可能有人替换了who程序来掩人耳目。
通常,在已经识别某些可疑活动后,进程记帐可以有效的发挥作用。使用 lastcomm 可以隔绝用户活动或在特定时间执行命令。但是使用该命令必须设置为打开状态。
基本上,/var/log/pacct,/var/run/utmp, /var/log/pacct是动态数据库文件。其中/var/log/pacct和/var/log/wtmp文件随着输入项的增加和修改而增加。问题在于这些文件处于动态增加状态,因此到一定程度就会变的很大。
我们可以通过一个叫 logrotate 的程序来解决上面这个问题,该程序读 /etc/logrotate.conf 配置文件,该配置文件告诉 logrotate 所要读 /etc/logrotate.d 目录中的文件。可以通过它来设定日志文件的循环时间。




回页首
2 系统日志
在 Linux 下使用各种日志文件,有些用于某些特殊用途,例如:/var/log/xferlog 用于记录文件传输协议 FTP 的信息。其他日志文件,例如 /var/log/messages 文件通常包含许多系统和内核工具的输入项。这些日志文件为系统的安全状态提供了信息。
我们主要讲解两个日志守护程序---syslog和klogd------并且简要叙述了由Linux操作系统生成的其他其他日志文件。目的是提供基本的配置情况。
2.1 syslog系统日志工具
大部分的 Linux 系统中都要使用 syslog 工具,它是相当灵活的,能使系统根据不同的日志输入项采取不同的活动。下面将详细讨论syslog 的工作机制以及在配置文件 /etc/syslog.conf 中的配置,还将论述利用 syslog 灵活性和功能性进行工作的各种方法。
1) 概述
非常简单,syslog 工具由一个守护程序组成。它能接受访问系统的日志信息并且根据 /etc/syslog.conf 配置文件中的指令处理这些信息。程序,守护进程和内核提供了访问系统的日志信息。因此,任何希望生成日志信息的程序都可以向 syslog 接口呼叫生成该信息。
通常,syslog 接受来自系统的各种功能的信息,每个信息都包括重要级。/etc/syslog.conf 文件通知 syslogd 如何根据设备和信息重要级别来报告信息。
2) etc/syslog.conf
/etc/syslog.conf 文件使用下面的形式
facility.level    action
空白行和以#开头的行可以忽略。Facility.level 字段也被称做 seletor。应该使用一次或多次 tab 键分隔 facility 和 action。大部分 Linux 使用这些空格为分隔符。现在分析一下 /etc/syslog.conf 中的三个要素。
facility 指定 syslog 功能,主要包括以下这些:
auth  由 pam_pwdb 报告的认证活动。
authpriv 包括特权信息如用户名在内的认证活动
cron  与 cron 和 at 有关的信息。
daemon 与 inetd 守护进程有关的信息。
kern  内核信息,首先通过 klogd 传递。
lpr   与打印服务有关的信息。
mail  与电子邮件有关的信息
mark  syslog 内部功能用于生成时间戳
news  来自新闻服务器的信息
syslog  由 syslog 生成的信息
user   由用户程序生成的信息
uucp   由 uucp 生成的信息
local0----local7   与自定义程序使用,例如使用 local5 做为 ssh 功能
*   通配符代表除了 mark 以外的所有功能
与每个功能对应的优先级是按一定顺序排列的,emerg 是最高级,其次是 alert,依次类推。缺省时,在 /etc/syslog.conf 记录中指定的级别为该级别和更高级别。如果希望使用确定的级别可以使用两个运算符号!(不等)和=。
user.=info
表示告知 syslog 接受所有在 info 级别上的 user 功能信息。
syslog 级别如下:
emerg 或 panic   该系统不可用
alert            需要立即被修改的条件
crit             阻止某些工具或子系统功能实现的错误条件
err             阻止工具或某些子系统部分功能实现的错误条件
warning         预警信息
notice           具有重要性的普通条件
info             提供信息的消息
debug           不包含函数条件或问题的其他信息
none            没有重要级,通常用于排错
*               所有级别,除了none
action字段所表示的活动具有许多灵活性,特别是,可以使用名称管道的作用是可以使 syslogd 生成后处理信息。
syslog 主要支持以下活动
file     指定文件的绝对路径
terminal 或 print    完全的串行或并行设备标志符
@host   远程的日志服务器
username  发送信息到使用 write 的指定用户中
named pipe  指定使用 mkfifo 命令来创建的 FIFO 文件的绝对路径。


3) 调用 syslogd 守护程序
syslog 守护程序是由 /etc/rc.d/init.d/syslog 脚本在运行级2下被调用的,缺省不使用选项。但有两个选项 -r 和 -h 很有用。
如果将要使用一个日志服务器,必须调用 syslogd -r。缺省情况下 syslog 不接受来自远程系统的信息。当指定 -r 选项,syslogd 将会监听从 514 端口上进来的 UDP 包。
如果还希望日志服务器能传送日志信息,可以使用 -h 标志。缺省时,syslogd 将忽略使其从一个远程系统传送日志信息到另一个系统的/etc/syslog.conf 输入项。
4) klogd 守护进程
klogd 守护进程获得并记录 Linux 内核信息。通常,syslogd 会记录 klogd 传来的所有信息,然而,如果调用带有 -f filename 变量的 klogd 时,klogd 就在 filename 中记录所有信息,而不是传给 syslogd。当指定另外一个文件进行日志记录时,klogd 就向该文件中写入所有级别或优先权。Klogd 中没有和 /etc/syslog.conf 类似的配置文件。使用 klogd 而避免使用 syslogd 的好处在于可以查找大量错误。如果有人入侵了内核,使用 klogd 可以修改错误。
5) 其他日志
在 /var/log 和不同版本的系统中以及自己配置的应用程序中都可以找到其他日志文件。当然,/etc/syslog.conf 列出了由 syslogd 管理的所有日志文件名和位置。其他日志由其他应用程序管理。例如在 Redhat6.2 中,apache server 生成 /var/log/htmlaccess.log 文件记录客户访问,生成 /var/log/httpd/error.log 文件在 syslog 以外查找错误。
cron 工具维护的信息日志文件 /var/log/cron。当 Linuxconf 工具记录系统重新配置信息时,将生成日志文件如 /var/log/nerconf.log。samba 在 /var/log/samba 中维护其日志信息。
另外由于 syslogd 在系统非常繁忙时,可能会丢失信息,所以,可以用 cyclog 替换 syslog。


本文来自ChinaUnix博客,如果查看原文请点:http://blog.chinaunix.net/u2/60040/showart_1005403.html
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

DTCC2020中国数据库技术大会 限时8.5折

【架构革新 高效可控】2020年6月4日~6日第十一届中国数据库技术大会将在北京隆重召开。

大会设置2大主会场,20+技术专场,将邀请超百位行业专家,重点围绕数据架构、AI与大数据、传统企业数据库实践和国产开源数据库等内容展开分享和探讨,为广大数据领域从业人士提供一场年度盛会和交流平台。

http://dtcc.it168.com


大会官网>>
  

北京盛拓优讯信息技术有限公司. 版权所有 16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122
中国互联网协会会员  联系我们:huangweiwei@it168.com
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP