1、登录帐户管理# @9 k* X$ Z1 c# ]) [& y. ?2 g
在
Linux下登录用户帐户的管理是通过utmp和wtmp这两个工具来实现的。wtmp还记录
系统重启和系统状态变化的有关
信息。所有与utmp和wtmp相关的
数据都分别被保存在/var/run/utmp和/var/log/wtmp这两个文件中。这两个文件均归属于root用户所有并且访问权限被设置为644,这些文件中的
数据是加密过的。可以用dump-utmp这个工具将原始的
数据转换为ASCII的
数据,便于系统管理员分析用户的登录以及系统重启和系统状态变化的有关信息。
. \7 w/ }; _9 j# i( @, R+ b* A' \5 m) Z, r: J
登录帐户管理的相关命令
0 Y) E. ^! t5 m5 [4 {
[color=#FFFFFF']
8 P" s+ |5 d0 D* Z0 W, r
& m2 z$ m' R H2 Y* p, B+ t
last命令提供了每个用户登录和退出的
时间,同时还有系统重新启动以及运行状态改变的信息。默认情况下,last分析/var/log/wtmp文件并显示每个连接和运行状态改变的信息。Last输出的信息可能太多而让查看的人无法应付,典型的用法是last%26;#8211;5,表示查看/var/log/wtmp中的最新5条记录的内容。
; j/ c& `/ b* ^9 d9 d6 i- E
who命令的主要用处是报告系统中当前登录进来的用户信息。Who命令提供了如下的信息:用户登录进入使用的系统终端设备、用户的地址、使用的主机名、X显示的窗口(假如使用了X
Windows系统)、用户是否接受其他用户的消息和交谈请求等。
4 H# ]5 v* X- j2 @
ac命令提供了有关用户连接的大概统计,我们可以使用带有标志d和p的ac命令。标志d显示了一天的总连接统计,标志p显示了每一个用户的连接时间。这种统计信息的方式对了解与探测入侵有关的用户情况及其他活动很有帮助。
2 @7 D. q d* t* A% \6 K4 m3 j lastlog命令读取/var/log/lastlog文件并产生用户最后一次登录信息的报告lastlog命令也用于在Linux系统中检查不寻常的登录记录。
, m* e* ~, I% f' r/ \$ f3 A4 Q! q9 r, k; S
2、系统帐户的审计
$ G7 K, z2 \. _4 R8 F
! S' J$ R! o, C; n8 R. Q6 c Linux
操作系统可以通过设置日志文件可以对每个用户的每一条命令进行纪录,不过这一
功能默认是没有打开的。
0 ^. }, e: H: H8 Q8 v
开启这个功能的过程:
5 n, p- K! Y5 L8 k i5 [
#touch/var/log/pacct
9 I" ^7 W( G; I/ o #action/var/log/pact
* c( q) [3 H- z[color=#FFFFFF']
" ^+ d9 \* t7 {6 h& s5 X G8 Z
1 G! q' [. U; V. E: ?/ N t+ R
也可以用自已的文件来代替/var/log/pacct这个文件。但必须路径和文件名的正确。
8 c# G6 _( o) O8 ?/ \[color=#FFFFFF']
5 z- U! m1 P Y# z/ s
2 K/ J8 q( G; ^& i sa命令与ac命令一样,sa是一个统计命令。该命令可以获得每个用户或每个命令的进程使用的大致情况,并且提供了系统资源的消费信息。在很大程度上,sa又是一个记帐命令,对于识别特殊用户,特别是已知特殊用户使用的可疑命令十分有用。另外,由于信息量很大,需要处理脚本或
程序筛选这些信息。
( ?5 }' [" J) M1 O! O T4 s, u0 Y lastcomm命令,与sa命令不同,lastcomm命令提供每一个命令的输出结果,同时打印出与执行每个命令有关的时间印戳。就这一点而说,lastcomm比sa更有
安全性。如果系统被入侵,请不要相信在lastlog、utmp、wtm中记录的信息,但也不要忽略,因为这些信息可能被修改过了。另外有可能有人替换了who程序来掩人耳目。通常,在已经识别某些可疑活动后,进程记帐可以有效的发挥作用。使用lastcomm可以隔绝用户活动或在特定时间执行命令。
$ i0 S, e+ U% d0 Z* D& t 3、使用logrorate对审计文件管理 @0 v% n s( I& s1 X
/var/log/utmp,/var/log/wtmp和/var/log/pacct文件都是动态的数据文件。wtmp和pacct文件是在文件尾部不断地增加记录。在繁忙的
网络上,这些文件会变得很大。Linux提供了一个叫logrotate的程序,它允许管理员对这些文件进行管理。
6 g+ g# i- l8 L/ q
Logrotate读取/etc/logrotate.d目录下的文件。管理员通过该目录下的脚本文件,控制logrotate程序的运作。一个典型的脚本文件如下:
6 K% y, l- p7 |" h6 r9 V5 i
{
7 M: q2 N, h1 l/ W) c+ [2 @ rotate5
4 u, y" P5 e9 K1 O/ ] x weekly
$ ]0 I* {! g7 R; v- R- f, F errorsroot@serve1r
$ ]5 \% B1 j: B mailroot@server1
/ J; C, h4 I0 m( ]: y
copytruncate
% ?& l4 s s: {7 R+ j
compress
& v+ C- h. v* W2 O
size100k
* D% X' g+ Q! `/ }* v* @" r% Z
}
; |! o4 B; b1 i6 M: V$ x
脚本文件的含义如下:
! p9 e' p* C' m+ c' H ●rotate5%26;#8212;%26;#8212;保留该文件一份当前的备份和5份旧的备份。
) J! S0 D$ h$ V' W" | ●weekly%26;#8212;%26;#8212;每周处理文件一次,通常是一周的第一天。
9 l( M& Y. G; X- K* s' |( Z) X
●errors%26;#8212;%26;#8212;向邮件地址发送错误报告。
: L: H0 ~' Z. ~" c7 ~8 y) W! G8 h# c ●mail%26;#8212;%26;#8212;向邮件地址发送相关的信息。
5 W, w* f! b _! d
●copytruncate%26;#8212;%26;#8212;允许进程持续地记录,备份文件创建后,把活动的日志文件清空。
$ H3 f8 J& {/ O$ \
●compress%26;#8212;%26;#8212;使用gzip工具对旧的日志文件进行压缩。
5 L, L, w b* C1 G* w
●size100k%26;#8212;%26;#8212;当文件超过100k时自动处理。
