本文介绍了Solaris系统中日志记录的关键进程klogd和syslogd,强调了syslogd在处理日志信息及配置文件/etc/syslog.conf的重要性。讨论了wtmp和utmp文件的用途,以及如何安全清理日志。提醒读者不应仅限于删除/var/adm/messages,而应了解日志机制并使用适当工具进行管理。
作为攻击者当然要知道系统是如何纪录用户的活动的情况的原理的了,呵呵,不然ip被记下来都不知道!
呵呵,其实一些人只会到/var/adm/目录里去删日志,那是很笨很笨的做法。
前段时间在www.unixaid.net结识了一个外地的系统管理员,谈了谈,深有心得所以我把这些写下来,呵呵。
unix系统的日志其实是非常复杂和强大的,特别是solaris系统,因为源码的不公开,所以被蒙上了一层神秘的面纱,我研究分析了一阵子得出的结论和大家分享,我的能力有限,还望大家多多指教。
负责日志记帐的有两个守护进程:klogd,syslogd,我着重讲这两个进程,当然还有进程记帐进程,就不多介绍了,呵呵,因为基本上所有的系统动作都会被这两个进程监视并纪录,大家如果要编写一些系统程序的话,也会用到syslog这个接口的,呵呵,klogd主要纪录一些系统内核的动作,对攻击者最受影响的是syslogd这个进程.它可以接收访问系统的日志信息并且根据/etc/syslog.conf配置文件中的指令处理
这些信息。因此,任何希望生成日志信息的程序都可向syslog接口呼叫来生成改信息。大部分内部系统工具如邮件和打印系统都是如此生成信息的,许多新增的程序如TCP_wrappers和SSH也是如此工作的。讲到这里,大家有点概念了吧?呵呵
/etc/syslog.conf的格式比较复杂,大家可以参考一下有关书籍,主要是如下语句形式:
facility.level action
呵呵,其实一些人只会到/var/adm/目录里去删日志,那是很笨很笨的做法。
前段时间在www.unixaid.net结识了一个外地的系统管理员,谈了谈,深有心得所以我把这些写下来,呵呵。
unix系统的日志其实是非常复杂和强大的,特别是solaris系统,因为源码的不公开,所以被蒙上了一层神秘的面纱,我研究分析了一阵子得出的结论和大家分享,我的能力有限,还望大家多多指教。
负责日志记帐的有两个守护进程:klogd,syslogd,我着重讲这两个进程,当然还有进程记帐进程,就不多介绍了,呵呵,因为基本上所有的系统动作都会被这两个进程监视并纪录,大家如果要编写一些系统程序的话,也会用到syslog这个接口的,呵呵,klogd主要纪录一些系统内核的动作,对攻击者最受影响的是syslogd这个进程.它可以接收访问系统的日志信息并且根据/etc/syslog.conf配置文件中的指令处理
这些信息。因此,任何希望生成日志信息的程序都可向syslog接口呼叫来生成改信息。大部分内部系统工具如邮件和打印系统都是如此生成信息的,许多新增的程序如TCP_wrappers和SSH也是如此工作的。讲到这里,大家有点概念了吧?呵呵
/etc/syslog.conf的格式比较复杂,大家可以参考一下有关书籍,主要是如下语句形式:
facility.level action
最低0.47元/天 解锁文章
435
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
