跳轉到內容

UNIX 計算安全/日誌檔案和審計

Add links
來自華夏公益教科書,開放的書籍,開放的世界
< UNIX 計算安全
此頁面可能需要 審查 質量。

建議主題:syslog,lpd 的日誌,郵件日誌,安裝,審計和入侵檢測系統。

日誌檔案由系統程序生成,用於記錄活動以供後續分析。它們可以是用於解決系統問題以及檢查不當活動的實用工具。UNIX 版本預先配置為將某些資訊記錄在日誌檔案中,但配置設定可用於增加記錄的資訊量。

日誌檔案對於安全事件調查來說非常有用的資源。它們對於刑事活動的起訴也至關重要。出於這些原因,日誌檔案應定期備份到單獨的介質,並且需要採取預防措施來防止篡改日誌檔案。預計未經授權的入侵者將嘗試從系統日誌檔案中刪除其活動的任何痕跡。

對於隨著時間的推移而顯著增長的日誌檔案,定期輪換日誌是一個好習慣。也就是說,將當前日誌檔案重新命名為序列中的名稱,然後開始一個新日誌。以下是如何輪換名為mylog的日誌檔案的示例

 $ cd /var/adm
 $ test -f mylog.2 && mv -f mylog.2 mylog.3
 $ test -f mylog.1 && mv -f mylog.1 mylog.2
 $ test -f mylog.log && cp -p mylog mylog.1
 $ :>mylog

這樣做的效果是將日誌在三個副本中輪換,然後最終被覆蓋。可以使用指令碼定期執行此操作,從而保持日誌檔案被修剪。(日誌檔案應在某個時間點備份到介質。)輪換日誌檔案有助於最大程度地減少磁碟空間使用量,從而避免由於檔案系統已滿而導致的拒絕服務事件。

Syslog

[編輯 | 編輯原始碼]

系統日誌是由syslogd守護程序維護的日誌檔案。此日誌檔案可以收集各種有用的資訊,包括恐慌條件、資料損壞、硬體錯誤以及警告和跟蹤資訊。可以使用logger命令從 shell 或指令碼中寫入此日誌檔案。訊息被髮送到syslogd守護程序,該守護程序根據特殊檔案(如/etc/syslog.conf)中定義的配置對其進行處理。

傳遞到syslog的事件由一組設施和日誌級別定義。設施和日誌級別的組合可以以不同的方式處理,或者完全忽略。例如,所有錯誤訊息都可以複製到syslog.log檔案並透過電子郵件傳送給系統管理員,警報可以列印到控制檯,郵件除錯訊息可以新增到mail.log檔案,等等。

某些服務或守護程序可以配置為將資訊記錄到syslogd檔案中。這些可以包括inetd檔案,在某些系統上可以配置為提供其他日誌資訊。可以記錄的資訊型別包括遠端使用者登入嘗試和成功,包括使用者連線的客戶端主機。在某些情況下,這對於幫助跟蹤不當或錯誤連線的來源很有用。

某些版本的syslogd可以配置為讀取透過網路廣播的日誌訊息。但是,可以使用無效訊息來氾濫此套接字,從而導致日誌檔案快速增長以及潛在的拒絕服務。出於這個原因,通常最好在syslogd啟動時停用此網路日誌記錄功能。

有幾種方法可以維護一個系統日誌,入侵者難以甚至不可能清除。這些可以透過/etc/syslog.conf檔案進行配置。

  • 一臺印表機可以專門用於在硬複製上記錄日誌訊息。老式的行式印表機特別適合於此目的,因為訊息可以立即檢視,而不是等待頁面填滿。
  • 守護程序可以將訊息轉發到網路上的安全系統。如果伺服器被破壞,訊息將仍然安全地儲存在遠端主機上。
  • 日誌訊息可以複製到配置為一次寫入、多次讀取操作的裝置。這可能是一次性寫入、多次讀取的 CD-ROM 記錄或專門配置的磁帶驅動器。

系統管理員還應警惕誤導性的日誌訊息。使用者可以使用logger命令新增日誌條目,這可以作為惡作劇或滋擾因素。

其他日誌

[編輯 | 編輯原始碼]

還有其他日誌檔案,有時可以用來跟蹤訪問和活動。

  • 行式印表機守護程序 (lpd) 通常用於將輸出作業分發到印表機。這可以列印到本地連線的裝置,或者將列印作業轉發到不同伺服器上的遠端印表機。列印作業記錄在日誌檔案中,通常給出印表機名稱、執行列印作業的帳戶以及日期和時間。這可能對跟蹤訪問嘗試很有用。
  • sendmail守護程序可用於使用 SMTP(簡單郵件傳輸協議)在 UNIX 系統之間傳送和接收電子郵件。守護程序可以配置為記錄有關傳送、接收和中繼的電子郵件訊息的資訊。它可用於解決電子郵件問題,以及查詢異常的郵件活動。日誌訊息透過syslogd傳送到系統,syslogd 通常配置為將與郵件相關的訊息儲存到專用日誌檔案中。

審計

[編輯 | 編輯原始碼]

審計通常是 UNIX 系統上可以啟用的內建功能。它是 C-2 可信系統安全的要求。

必須啟用審計系統才能開始收集資料。這種資料採集確實需要付出代價,因為它會消耗高達系統 CPU 時間的 10%。資料儲存在一個檔案中,然後可以使用可用的審計系統命令進行分析。

審計子系統可以收集有關事件、系統呼叫和使用者活動的資料。審計可以收集大量資料,然後可以檢查這些資料以獲取有關正在執行的系統呼叫、呼叫系統命令的使用者以及所做修改的資訊。

審計配置的細節可能因 UNIX 作業系統的具體版本而異,因此係統管理員最好檢視有關該主題的手冊頁。通常有一個audit 手冊頁,這是一個很好的起點。

由於審計檔案可能無限增長,因此有必要管理該檔案,通常每天進行一次。這可以透過輪換日誌檔案並將日誌備份到單獨的介質來完成。審計功能通常有一個閾值設定,會在特定條件下導致審計切換到備用日誌檔案。此審計檔案通常放置在另一個檔案系統上,以防原始檔案系統達到磁碟使用限制時觸發閾值切換。

應定期監控審計日誌以檢查需要跟蹤的活動。通常,這可以透過使用 cron 作業來實現,該作業彙總日誌條目並查詢不適當的事件。此外,將審計事件日誌定期儲存在單獨的介質上對於調查未經授權的訪問等目的很有用。

檢索自 "https://wikibook.tw/wiki/UNIX_Computing_Security/Log_files_and_auditing"
華夏公益教科書