2.1.1 Linux日志系统概述

第2章  日志系统与审计系统

Linux系统通过日志系统和审计系统提供对系统各种活动的跟踪。日志系统除了对系统活动的跟踪外，还可以用于程序和内核的调试。审计系统则完全用于内核的安全跟踪。

本章分析了日志系统的记录机制，阐述了审计系统的原理，并说明了文件系统变化监视机制。

2.1  Linux日志系统

日志是Linux安全体系的一个重要组成部分，日志信息提供了攻击发生的真实证据。由于攻击方式多种多样，一旦攻击攻破系统，系统通过日志文件应留下攻击信息。Linux提供了网络、主机和用户级的日志信息。日志可记录如下内容：

— 记录系统和内核的运行信息；
— 记录每一次网络连接和它们的源IP地址、长度，有时还包括攻击者的用户名和使用的操作系统；
— 记录远程用户申请访问哪些文件；
— 记录用户可以控制哪些进程；
— 记录具体用户使用的每条命令。

2.1.1  Linux日志系统概述

日志主要的功能是实时地监测系统状态，监测和追踪侵入者等。Linux系统有3个主要的日志子系统：连接时间日志、进程统计日志和错误日志。

连接时间日志记录在/var/log/wtmp和/var/run/utmp中，用于跟踪谁在何时登录到系统。

进程统计日志（pacct或acct）给系统中的基本服务提供命令使用统计。

错误日志由syslogd后台进程记录，各种系统守护进程、用户程序通过调用函数syslog向文件/var/og/messages记录值得注意的事件。

另外，应用程序还可以创建日志，如：HTTP和FTP等服务器常用单独的日志文件保持详细的日志信息。审计系统常将安全审计信息保存在/var/log/audit.d目录下的audit.log文件中。

常用的日志文件说明如下：

boot.log  记录系统在引导过程中发生的事件。

cron  记录crontab守护进程crond所派生的子进程的动作。

maillog  记录电子邮件的活动。

acct/pacct  记录用户命令。

lastlog  记录最近几次成功登录的事件和最后一次不成功的登录。

messages  从syslog中记录信息（有的链接到syslog文件）。

sulog  记录su命令的使用。

syslog  从syslog中记录信息（通常链接到messages文件）；

utmp  记录当前登录用户的信息。

wtmp  一个用户每次登录进入和退出时间的永久记录。另外，wtmp和utmp文件都是二进制文件，需要使用who、w、users、last和ac命令查看它们包含的信息。

进程统计记录进程的活动。进程统计默认时是关闭的，使用下面的命令设置打开进程统计：

# accton  /var/log/pact

关闭进程统计的命令列出如下：

# accton

可用lastcomm命令报告以前的执行文件在/var/log/pacct记录的内容。