|
 | 作者: bei [bei]
 论坛用户 |
登录 |
| Unix的日志文件系统 真正的黑客永远都是我们崇敬的偶像!因为他们对网络的发展做出了自己的贡献。但现在好象自称黑客 的人越来越多了,难道你进入过一些机器且利用溢出得到了root权限就算是一个真正的黑客了吗?别的就不说了,你可能以为擦了utm*,wtm*,lastlog 等等,你就神出鬼没,来去无踪了,其实很可能差得太远了,你 的一举一动也许被记录的一清二楚,就算你跳过了,就算你改动了系统时间。。。 这么说吧, 你对Unix的日志系统清楚吗? 你知道你攻击前的每次Finger都可能被记录吗? 你考虑过管理员设置的第三方监控软件吗? 你知道Swatch,Tripwire吗? 你知道跨越网络登记吗? ... 如果你进入一些机器后,只是想学习一下系统操作,想找个编译资源,管理员也许会容忍你,但如果 你要是搞出了什么事情,你可不要有任何的侥幸心理,掩耳盗铃的事情最好不去做! 好了!大家还是认真学习些东西吧!尽我们自己的能力做些有益的事情。 基本日志文件 不同版本的Unix日志文件的目录是不同的,最常用的目录是: /usr/adm 早期版本的 Unix /var/adm 较新版本的 Unix /var/log 用于Solaris,Linux,BSD等 /etc Unix system V早期版本 在这些目录下,或其子目录下,你可以找到以下日志文件(也许是其中的一部分): lastlog 记录用户最后一次成功登录时间 loginlog 不良的登陆尝试记录 messages 记录输出到系统主控台以及由syslog系统服务程序产生的消息 utmp 记录当前登录的每个用户 utmpx 扩展的utmp wtmp 记录每一次用户登录和注销的历史信息 wtmpx 扩展的wtmp vold.log 记录使用外部介质出现的错误 xferkig 记录Ftp的存取情况 sulog 记录su命令的使用情况 acct 记录每个用户使用过的命令 aculog 拨出自动呼叫记录 下面按顺序仔细介绍一下 lastlog文件 Unix在lastlog日志文件中记录每一个用户注册进入系统的最后时间,在你每一次进入系统时,系统会显示出这个时间: login: blackeyes password: h3ll0 Last login :Tue Jul 27 09:55:50 on tty01 lastlog告诉用户,要核对一下最后注册进入系统的时间是否正确,若系统显示的时间与你上次进入系统的时间不符,说明发生了非授权用户注册,若这种情况发生了,用户应该马上修改帐户口令,并通知管理员。 在每次注册时,lastlog新的内容冲掉老的内容。 标准版本的Unix没有提供服务程序可以阅读lastlog文件,有些程序可以提供这个服务,跟我们这里要 谈的东西关系不太大,以后再说了。 loginlog文件 Unix system V版本中,可以把不成功的登录行为记录在/var/adm/loginlog中。要登记不成功的注册行为,可以用下列命令建立/var/adm/loginlog文件: #touch /var/adm/loginlog #chmod 600 /var/adm/loginlog #chown root /var/adm/loginlog 如果你知道一个系统的用户名,而你又想猜出密码,/var/adm/loginlog就会记录你的失败的登录尝试 管理员看看/var/adm/loginlog的内容,你的企图就露馅了: #cat /var/adm/loginlog |
| 地主 发表时间: 04/23 22:27 |
 | 回复: magic [buaaytt] 论坛用户 |
登录 |
|
我认为关键是怎么定制系统对日志的记录项目,即系统在什么情况下写进日志,记录哪些内容,把这个配置好了就能用最少的工夫发现最多的有用信息 |
| B1层 发表时间: 04/23 23:11 |
| 回复: bei [bei] 论坛用户 |
登录 |
|
说的有理。 |
| B2层 发表时间: 04/23 23:29 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 菜鸟乐园 标题: Unix的日志文件系统