日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

作為一種常用的操作系統(tǒng)，Linux系統(tǒng)可以運行在各類服務器、組件、設備中，因此安全監(jiān)管非常重要。Linux日志與審核就是保障Linux系統(tǒng)信息安全的重要組成部分，它可以對系統(tǒng)的各種操作進行監(jiān)控、記錄和分析，為管理員提供監(jiān)管依據(jù)和安全保障。本文將對 Linux日志與審核 的配置進行全面解析，讓管理員更好地了解和實踐 Linux系統(tǒng)安全。

網(wǎng)站建設哪家好，找成都創(chuàng)新互聯(lián)！專注于網(wǎng)頁設計、網(wǎng)站建設、微信開發(fā)、微信平臺小程序開發(fā)、集團企業(yè)網(wǎng)站建設等服務項目。為回饋新老客戶創(chuàng)新互聯(lián)還提供了鳳泉免費建站歡迎大家使用！

一、日志的部署與分類

1. 部署

在 Linux系統(tǒng)中，日志的最重要的功能就是監(jiān)控和記錄系統(tǒng)的各種操作和行為，從而追蹤問題和核實安全。因此，日志的部署非常關(guān)鍵。Linux系統(tǒng)通常會將日志文件存儲在磁盤上，所以必須保證磁盤的容量充足，以免日志文件過大導致磁盤空間耗盡造成系統(tǒng)崩潰。

2. 分類

在 Linux系統(tǒng)中，日志主要可以分為以下幾類:

① 系統(tǒng)日志：這是記錄整個操作系統(tǒng)運行狀態(tài)的主要日志，其中包括各種警告、錯誤、事件、系統(tǒng)信息等；

② 安全日志：這是記錄與安全相關(guān)的日志，包括各類安全事件、登錄、認證、審核、訪問控制等；

③ 應用日志：這是記錄應用程序運行的日志，包括各種業(yè)務日志、過程中的警告、錯誤等。

二、Linux日志的格式及讀取

Linux日志通常采用文本格式，包含時間戳、事件狀態(tài)、操作者、模塊、詳細內(nèi)容等基本信息。常用的日志文件包括 /var/log/messages、/var/log/auth.log、/var/log/ml.log、/var/log/boot.log 等。

Linux日志的讀取可以使用常用的工具，如cat、tl、grep、less等，也可以使用系統(tǒng)自帶的分析工具，如系統(tǒng)審計工具 auditd、日志分析工具 logwatch 等，通過這些工具，管理員可以很快定位系統(tǒng)發(fā)生的問題和異常行為。

三、Linux日志審核的策略

1. 選擇性的記錄

在 Linux 日志審核中，記錄所有操作不僅浪費磁盤空間，而且會影響日志記錄的實時性。因此，管理員可以選擇性地記錄操作，只關(guān)注自己關(guān)注的事件，以免過多的關(guān)注和干擾。此外，還應該根據(jù)實際應用場景和需求設置日志的保留時間。

2. 設置正確的權(quán)限

Linux 系統(tǒng)中，日志文件的權(quán)限應該設置為只讀，只有具備管理員權(quán)限的用戶才能查看和修改日志文件，以免被惡意攻擊者篡改或者破壞。

3. 定期備份

為了防止單個磁盤的故障或者其他情況導致數(shù)據(jù)丟失，管理員需要定期備份重要的日志文件。這種備份更好存儲在離線狀態(tài)的介質(zhì)上，確保即便面臨較大型的襲擊時，仍能夠準確地追查問題。

4. 基于事件的反應

當系統(tǒng)出現(xiàn)異?；蛘哂龅揭伤瓢踩{的事件時，管理員應該立刻采取相關(guān)的行動。這些行動可能包括分析日志、排查問題、追蹤惡意代碼、阻止訪問等，以盡快解決問題并進行后續(xù)的修復和監(jiān)控。

在 Linux 日志審核中，將規(guī)范化、自動化的審計機制與策略組合應用，可以大大提高服務器安全性，減輕系統(tǒng)管理者的工作負擔，讓整個操作系統(tǒng)的安全防御體系更加健全。

本文闡述了 Linux日志與審核 的重要性、日志的部署與分類、日志的格式及讀取、以及 Linux日志審核的策略等方面的問題。了解并實踐這些策略可以使管理員更好地保護系統(tǒng)安全，減少被攻擊和破壞的可能性，為企業(yè)提供更好的服務和保障。

相關(guān)問題拓展閱讀：

• 如何提高linux服務器的安全策略

如何提高linux服務器的安全策略

安全是IT行業(yè)一個老生常談的話題了，處理好信息安全問題已變得刻不容緩。做為運維人員，就必須了解一些安全運維準則，同時，要保護自己所負責的業(yè)務，首先要站在攻擊者的角度思考問題，修補任何潛在的威脅和漏洞。主要分五部分展開：賬戶和登錄安全賬戶安全是系統(tǒng)安全的之一道屏障，也是系統(tǒng)安全的核心，保障登錄賬戶的安全，在一定程度上可以提高服務器的安全級別，下面重點介紹下Linux系統(tǒng)登錄賬戶的安全設置方法。

1、刪除特殊的賬戶和賬戶組 Linux提供了各種不同角色的系統(tǒng)賬號，在系統(tǒng)安裝完成后，默認會安裝很多不必要的用戶和用戶組，如果不需要某些用戶或者組，就要立即刪除它，因為賬戶越多，系統(tǒng)就越不安全，很可能被黑客利用，進而威脅到服務器的安全。

Linux系統(tǒng)中可以刪除的默認用戶和組大致有如下這些：

可刪除的用戶，如adm,lp,sync,shutdown,halt,news,uucp,operator,games,gopher等。

可刪除的組，如adm,lp,news,uucp,games,dip,pppusers,popusers,slipusers等。

2、關(guān)閉系統(tǒng)不需要的服務Linux在安裝完成后，綁定了很多沒用的服務，這些服務默認都是自動啟動的。對于服務器來說，運行的服務越多，系統(tǒng)就越不安全，越少服務在運行，安全性就越好，因此關(guān)閉一些不需要的服務，對系統(tǒng)安全有很大的幫助。具體哪些服務可以關(guān)閉，要根據(jù)服務器的用途而定，一般情況下，只要系統(tǒng)本身用不到的服務都認為是不必要的服務。例如：某臺Linux服務器用于www應用，那么除了httpd服務和系統(tǒng)運行是必須的服務外，其他服務都可以關(guān)閉。下面這些服務一般情況下是不需要的，可以選擇關(guān)閉： anacron、auditd、autofs、avahi-daemon、avahi-dnsconfd、bluetooth、cpuspeed、firstboot、gpm、haldaemon、hidd、ip6tables、ipsec、isdn、lpd、mcstrans、messagebus、netfs、nfs、nfslock、nscd、pcscd portmap、readahead_early、restorecond、rpcgssd、rpcidmapd、rstatd、sendmail、setroubleshoot、yppasswdd ypserv

3、密碼安全策略在Linux下，遠程登錄系統(tǒng)有兩種認證方式：密碼認證和密鑰認證。密碼認證方式是傳統(tǒng)的安全策略，對于密碼的設置，比較普遍的說法是：至少6個字符以上，密碼要包含數(shù)字、字母、下劃線、特殊符號等。設置一個相對復雜的密碼，對系統(tǒng)安全能起到一定的防護作用，但是也面臨一些其他問題，例如密碼暴力破解、密碼泄露、密碼丟失等，同時過于復雜的密碼對運維工作也會造成一定的負擔。密鑰認證是一種新型的認證方式，公用密鑰存儲在遠程服務器上，專用密鑰保存在本地，當需要登錄系統(tǒng)時，通過本地專用密鑰和遠程服務器的公用密鑰進行配對認證，如果認證成功，就成功登錄系統(tǒng)。這種認證方式避免了被暴力破解的危險，同時只要保存在本地的專用密鑰不被黑客盜用，攻擊者一般無法通過密鑰認證的方式進入系統(tǒng)。因此，在Linux下推薦用密鑰認證方式登錄系統(tǒng)，這樣就可以拋棄密碼認證登錄系統(tǒng)的弊端。Linux服務器一般通過SecureCRT、putty、Xshell之類的工具進行遠程維護和管理，密鑰認證方式的實現(xiàn)就是借助于SecureCRT軟件和Linux系統(tǒng)中的SSH服務實現(xiàn)的。

4、合理使用su、sudo命令su命令：是一個切換用戶的工具，經(jīng)常用于將普通用戶切換到超級用戶下，當然也可以從超級用戶切換到普通用戶。為了保證服務器的安全，幾乎所有服務器都禁止了超級用戶直接登錄系統(tǒng)，而是通過普通用戶登錄系統(tǒng)，然后再通過su命令切換到超級用戶下，執(zhí)行一些需要超級權(quán)限的工作。通過su命令能夠給系統(tǒng)管理帶來一定的方便，但是也存在不安全的因素，例如：系統(tǒng)有10個普通用戶，每個用戶都需要執(zhí)行一些有超級權(quán)限的操作，就必須把超級用戶的密碼交給這10個普通用戶，如果這10個用戶都有超級權(quán)限，通過超級權(quán)限可以做任何事，那么會在一定程度上對系統(tǒng)的安全造成了威協(xié)。因此su命令在很多人都需要參與的系統(tǒng)管理中，并不是更好的選擇，超級用戶密碼應該掌握在少數(shù)人手中，此時sudo命令就派上用場了。sudo命令：允許系統(tǒng)管理員分配給普通用戶一些合理的“權(quán)利”，并且不需要普通用戶知道超級用戶密碼，就能讓他們執(zhí)行一些只有超級用戶或其他特許用戶才能完成的任務。比如：系統(tǒng)服務重啟、編輯系統(tǒng)配置文件等，通過這種方式不但能減少超級用戶登錄次數(shù)和管理時間，也提高了系統(tǒng)安全性。因此，sudo命令相對于權(quán)限無限制性的su來說，還是比較安全的，所以sudo也被稱為受限制的su，另外sudo也是需要事先進行授權(quán)認證的，所以也被稱為授權(quán)認證的su。

sudo執(zhí)行命令的流程是：將當前用戶切換到超級用戶下，或切換到指定的用戶下，然后以超級用戶或其指定切換到的用戶身份執(zhí)行命令，執(zhí)行完成后，直接退回到當前用戶，而這一切的完成要通過sudo的配置文件/etc/sudoers來進行授權(quán)。

sudo設計的宗旨是：賦予用戶盡可能少的權(quán)限但仍允許它們完成自己的工作，這種設計兼顧了安全性和易用性，因此，強烈推薦通過sudo來管理系統(tǒng)賬號的安全，只允許普通用戶登錄系統(tǒng)，如果這些用戶需要特殊的權(quán)限，就通過配置/etc/sudoers來完成，這也是多用戶系統(tǒng)下賬號安全管理的基本方式。

5、刪減系統(tǒng)登錄歡迎信息 系統(tǒng)的一些歡迎信息或版本信息，雖然能給系統(tǒng)管理者帶來一定的方便，但是這些信息有時候可能被黑客利用，成為攻擊服務器的幫兇，為了保證系統(tǒng)的安全，可以修改或刪除某些系統(tǒng)文件，需要修改或刪除的文件有4個，分別是：/etc/issue、/etc/issue.net、/etc/redhat-release和/etc/motd。/etc/issue和/etc/issue.net文件都記錄了操作系統(tǒng)的名稱和版本號，當用戶通過本地終端或本地虛擬控制臺等登錄系統(tǒng)時，/etc/issue的文件內(nèi)容就會顯示，當用戶通過ssh或telnet等遠程登錄系統(tǒng)時，/etc/issue.net文件內(nèi)容就會在登錄后顯示。在默認情況下/etc/issue.net文件的內(nèi)容是不會在ssh登錄后顯示的，要顯示這個信息可以修改/etc/ssh/sshd_config文件，在此文件中添加如下內(nèi)容即可：Banner /etc/issue.net其實這些登錄提示很明顯泄漏了系統(tǒng)信息，為了安全起見，建議將此文件中的內(nèi)容刪除或修改。/etc/redhat-release文件也記錄了操作系統(tǒng)的名稱和版本號，為了安全起見，可以將此文件中的內(nèi)容刪除/etc/motd文件是系統(tǒng)的公告信息。每次用戶登錄后，/etc/motd文件的內(nèi)容就會顯示在用戶的終端。通過這個文件系統(tǒng)管理員可以發(fā)布一些軟件或硬件的升級、系統(tǒng)維護等通告信息，但是此文件的更大作用就、是可以發(fā)布一些警告信息，當黑客登錄系統(tǒng)后，會發(fā)現(xiàn)這些警告信息，進而產(chǎn)生一些震懾作用。看過國外的一個報道，黑客入侵了一個服務器，而這個服務器卻給出了歡迎登錄的信息，因此法院不做任何裁決。

遠程訪問和認證安全

1、遠程登錄取消telnet而采用SSH方式 telnet是一種古老的遠程登錄認證服務，它在網(wǎng)絡上用明文傳送口令和數(shù)據(jù)，因此別有用心的人就會非常容易截獲這些口令和數(shù)據(jù)。而且，telnet服務程序的安全驗證方式也極其脆弱，攻擊者可以輕松將虛假信息傳送給服務器。現(xiàn)在遠程登錄基本拋棄了telnet這種方式，而取而代之的是通過SSH服務遠程登錄服務器。

2、合理使用Shell歷史命令記錄功能 在Linux下可通過history命令查看用戶所有的歷史操作記錄，同時shell命令操作記錄默認保存在用戶目錄下的.bash_history文件中，通過這個文件可以查詢shell命令的執(zhí)行歷史，有助于運維人員進行系統(tǒng)審計和問題排查，同時，在服務器遭受黑客攻擊后，也可以通過這個命令或文件查詢黑客登錄服務器所執(zhí)行的歷史命令操作，但是有時候黑客在入侵服務器后為了毀滅痕跡，可能會刪除.bash_history文件，這就需要合理的保護或備份.bash_history文件。

3、啟用tcp_wrappers防火墻Tcp_Wrappers是一個用來分析TCP/IP封包的軟件，類似的IP封包軟件還有iptables。Linux默認都安裝了Tcp_Wrappers。作為一個安全的系統(tǒng)，Linux本身有兩層安全防火墻，通過IP過濾機制的iptables實現(xiàn)之一層防護。iptables防火墻通過直觀地監(jiān)視系統(tǒng)的運行狀況，阻擋網(wǎng)絡中的一些惡意攻擊，保護整個系統(tǒng)正常運行，免遭攻擊和破壞。如果通過了之一層防護，那么下一層防護就是tcp_wrappers了。通過Tcp_Wrappers可以實現(xiàn)對系統(tǒng)中提供的某些服務的開放與關(guān)閉、允許和禁止，從而更有效地保證系統(tǒng)安全運行。

文件系統(tǒng)安全

1、鎖定系統(tǒng)重要文件系統(tǒng)運維人員有時候可能會遇到通過root用戶都不能修改或者刪除某個文件的情況，產(chǎn)生這種情況的大部分原因可能是這個文件被鎖定了。在Linux下鎖定文件的命令是chattr，通過這個命令可以修改ext2、ext3、ext4文件系統(tǒng)下文件屬性，但是這個命令必須有超級用戶root來執(zhí)行。和這個命令對應的命令是lsattr，這個命令用來查詢文件屬性。對重要的文件進行加鎖，雖然能夠提高服務器的安全性，但是也會帶來一些不便。例如：在軟件的安裝、升級時可能需要去掉有關(guān)目錄和文件的immutable屬性和append-only屬性，同時，對日志文件設置了append-only屬性，可能會使日志輪換(logrotate)無法進行。因此，在使用chattr命令前，需要結(jié)合服務器的應用環(huán)境來權(quán)衡是否需要設置immutable屬性和append-only屬性。另外，雖然通過chattr命令修改文件屬性能夠提高文件系統(tǒng)的安全性，但是它并不適合所有的目錄。chattr命令不能保護/、/dev、/tmp、/var等目錄。根目錄不能有不可修改屬性，因為如果根目錄具有不可修改屬性，那么系統(tǒng)根本無法工作：/dev在啟動時，syslog需要刪除并重新建立/dev/log套接字設備，如果設置了不可修改屬性，那么可能出問題；/tmp目錄會有很多應用程序和系統(tǒng)程序需要在這個目錄下建立臨時文件，也不能設置不可修改屬性；/var是系統(tǒng)和程序的日志目錄，如果設置為不可修改屬性，那么系統(tǒng)寫日志將無法進行，所以也不能通過chattr命令保護。

2、文件權(quán)限檢查和修改不正確的權(quán)限設置直接威脅著系統(tǒng)的安全，因此運維人員應該能及時發(fā)現(xiàn)這些不正確的權(quán)限設置，并立刻修正，防患于未然。下面列舉幾種查找系統(tǒng)不安全權(quán)限的方法。

（1）查找系統(tǒng)中任何用戶都有寫權(quán)限的文件或目錄

查找文件：find / -type f -perm -2 -o -perm -20 |xargs ls -al查找目錄：find / -type d -perm -2 -o -perm -20 |xargs ls –ld

（2）查找系統(tǒng)中所有含“s”位的程序

find / -type f -permo -permprint | xargs ls –al

含有“s”位權(quán)限的程序?qū)ο到y(tǒng)安全威脅很大，通過查找系統(tǒng)中所有具有“s”位權(quán)限的程序，可以把某些不必要的“s”位程序去掉，這樣可以防止用戶濫用權(quán)限或提升權(quán)限的可能性。

（3）檢查系統(tǒng)中所有suid及sgid文件

find / -user root -permprint -exec md5sum {} \;find / -user root -permprint -exec md5sum {} \;

將檢查的結(jié)果保存到文件中，可在以后的系統(tǒng)檢查中作為參考。

（4）檢查系統(tǒng)中沒有屬主的文件

find / -nouser -o –nogroup

沒有屬主的孤兒文件比較危險，往往成為黑客利用的工具，因此找到這些文件后，要么刪除掉，要么修改文件的屬主，使其處于安全狀態(tài)。

3、/tmp、/var/tmp、/dev/shm安全設定在Linux系統(tǒng)中，主要有兩個目錄或分區(qū)用來存放臨時文件，分別是/tmp和/var/tmp。存儲臨時文件的目錄或分區(qū)有個共同點就是所有用戶可讀寫、可執(zhí)行，這就為系統(tǒng)留下了安全隱患。攻擊者可以將病毒或者木馬腳本放到臨時文件的目錄下進行信息收集或偽裝，嚴重影響服務器的安全，此時，如果修改臨時目錄的讀寫執(zhí)行權(quán)限，還有可能影響系統(tǒng)上應用程序的正常運行，因此，如果要兼顧兩者，就需要對這兩個目錄或分區(qū)就行特殊的設置。/dev/shm是Linux下的一個共享內(nèi)存設備，在Linux啟動的時候系統(tǒng)默認會加載/dev/shm，被加載的/dev/shm使用的是tmpfs文件系統(tǒng)，而tmpfs是一個內(nèi)存文件系統(tǒng)，存儲到tmpfs文件系統(tǒng)的數(shù)據(jù)會完全駐留在RAM中，這樣通過/dev/shm就可以直接操控系統(tǒng)內(nèi)存，這將非常危險，因此如何保證/dev/shm安全也至關(guān)重要。對于/tmp的安全設置，需要看/tmp是一個獨立磁盤分區(qū)，還是一個根分區(qū)下的文件夾，如果/tmp是一個獨立的磁盤分區(qū)，那么設置非常簡單，修改/etc/fstab文件中/tmp分區(qū)對應的掛載屬性，加上nosuid、noexec、nodev三個選項即可，修改后的/tmp分區(qū)掛載屬性類似如下：LABEL=/tmp /tmp ext3 rw,nosuid,noexec,nodev 0 0 其中，nosuid、noexec、nodev選項，表示不允許任何suid程序，并且在這個分區(qū)不能執(zhí)行任何腳本等程序，并且不存在設備文件。在掛載屬性設置完成后，重新掛載/tmp分區(qū)，保證設置生效。對于/var/tmp，如果是獨立分區(qū)，安裝/tmp的設置方法是修改/etc/fstab文件即可；如果是/var分區(qū)下的一個目錄，那么可以將/var/tmp目錄下所有數(shù)據(jù)移動到/tmp分區(qū)下，然后在/var下做一個指向/tmp的軟連接即可。也就是執(zhí)行如下操作：

# mv /var/tmp/* /tmp# ln -s /tmp /var/tmp

如果/tmp是根目錄下的一個目錄，那么設置稍微復雜，可以通過創(chuàng)建一個loopback文件系統(tǒng)來利用Linux內(nèi)核的loopback特性將文件系統(tǒng)掛載到/tmp下，然后在掛載時指定限制加載選項即可。一個簡單的操作示例如下：

# dd if=/dev/zero of=/dev/tmpfs bs=1M count=10000# mke2fs -j /dev/tmpfs# cp -av /tmp /tmp.old# mount -o loop,noexec,nosuid,rw /dev/tmpfs /tmp# chmod 1777 /tmp# mv -f /tmp.old/* /tmp/# rm -rf /tmp.old

最后，編輯/etc/fstab，添加如下內(nèi)容，以便系統(tǒng)在啟動時自動加載loopback文件系統(tǒng)：

/dev/tmpfs /tmp ext3 loop,nosuid,noexec,rw 0 0

Linux后門入侵檢測工具rootkit是Linux平臺下最常見的一種木馬后門工具，它主要通過替換系統(tǒng)文件來達到入侵和和隱蔽的目的，這種木馬比普通木馬后門更加危險和隱蔽，普通的檢測工具和檢查手段很難發(fā)現(xiàn)這種木馬。rootkit攻擊能力極強，對系統(tǒng)的危害很大，它通過一套工具來建立后門和隱藏行跡，從而讓攻擊者保住權(quán)限，以使它在任何時候都可以使用root權(quán)限登錄到系統(tǒng)。rootkit主要有兩種類型：文件級別和內(nèi)核級別，下面分別進行簡單介紹。文件級別的rootkit一般是通過程序漏洞或者系統(tǒng)漏洞進入系統(tǒng)后，通過修改系統(tǒng)的重要文件來達到隱藏自己的目的。在系統(tǒng)遭受rootkit攻擊后，合法的文件被木馬程序替代，變成了外殼程序，而其內(nèi)部是隱藏著的后門程序。通常容易被rootkit替換的系統(tǒng)程序有l(wèi)ogin、ls、ps、ifconfig、du、find、netstat等，其中l(wèi)ogin程序是最經(jīng)常被替換的，因為當訪問Linux時，無論是通過本地登錄還是遠程登錄，/bin/login程序都會運行，系統(tǒng)將通過/bin/login來收集并核對用戶的賬號和密碼，而rootkit就是利用這個程序的特點，使用一個帶有根權(quán)限后門密碼的/bin/login來替換系統(tǒng)的/bin/login，這樣攻擊者通過輸入設定好的密碼就能輕松進入系統(tǒng)。此時，即使系統(tǒng)管理員修改root密碼或者清除root密碼，攻擊者還是一樣能通過root用戶登錄系統(tǒng)。攻擊者通常在進入Linux系統(tǒng)后，會進行一系列的攻擊動作，最常見的是安裝嗅探器收集本機或者網(wǎng)絡中其他服務器的重要數(shù)據(jù)。在默認情況下，Linux中也有一些系統(tǒng)文件會監(jiān)控這些工具動作，例如ifconfig命令，所以，攻擊者為了避免被發(fā)現(xiàn)，會想方設法替換其他系統(tǒng)文件，常見的就是ls、ps、ifconfig、du、find、netstat等。如果這些文件都被替換，那么在系統(tǒng)層面就很難發(fā)現(xiàn)rootkit已經(jīng)在系統(tǒng)中運行了。這就是文件級別的rootkit，對系統(tǒng)維護很大，目前最有效的防御方法是定期對系統(tǒng)重要文件的完整性進行檢查，如果發(fā)現(xiàn)文件被修改或者被替換，那么很可能系統(tǒng)已經(jīng)遭受了rootkit入侵。檢查件完整性的工具很多，常見的有Tripwire、 aide等，可以通過這些工具定期檢查文件系統(tǒng)的完整性，以檢測系統(tǒng)是否被rootkit入侵。內(nèi)核級rootkit是比文件級rootkit更高級的一種入侵方式，它可以使攻擊者獲得對系統(tǒng)底層的完全控制權(quán)，此時攻擊者可以修改系統(tǒng)內(nèi)核，進而截獲運行程序向內(nèi)核提交的命令，并將其重定向到入侵者所選擇的程序并運行此程序，也就是說，當用戶要運行程序A時，被入侵者修改過的內(nèi)核會假裝執(zhí)行A程序，而實際上卻執(zhí)行了程序B。內(nèi)核級rootkit主要依附在內(nèi)核上，它并不對系統(tǒng)文件做任何修改，因此一般的檢測工具很難檢測到它的存在，這樣一旦系統(tǒng)內(nèi)核被植入rootkit，攻擊者就可以對系統(tǒng)為所欲為而不被發(fā)現(xiàn)。目前對于內(nèi)核級的rootkit還沒有很好的防御工具，因此，做好系統(tǒng)安全防范就非常重要，將系統(tǒng)維持在最小權(quán)限內(nèi)工作，只要攻擊者不能獲取root權(quán)限，就無法在內(nèi)核中植入rootkit。

1、rootkit后門檢測工具chkrootkit chkrootkit是一個Linux系統(tǒng)下查找并檢測rootkit后門的工具，它的官方址:

。 chkrootkit沒有包含在官方的CentOS源中，因此要采取手動編譯的方法來安裝，不過這種安裝方法也更加安全。chkrootkit的使用比較簡單，直接執(zhí)行chkrootkit命令即可自動開始檢測系統(tǒng)。下面是某個系統(tǒng)的檢測結(jié)果：

# /usr/local/chkrootkit/chkrootkitChecking `ifconfig’… INFECTEDChecking `ls’… INFECTEDChecking `login’… INFECTEDChecking `netstat’… INFECTEDChecking `ps’… INFECTEDChecking `top’… INFECTEDChecking `sshd’… not infectedChecking `syslogd’… not tested

從輸出可以看出，此系統(tǒng)的ifconfig、ls、login、netstat、ps和top命令已經(jīng)被感染。針對被感染rootkit的系統(tǒng)，最安全而有效的方法就是備份數(shù)據(jù)重新安裝系統(tǒng)。chkrootkit在檢查rootkit的過程中使用了部分系統(tǒng)命令，因此，如果服務器被黑客入侵，那么依賴的系統(tǒng)命令可能也已經(jīng)被入侵者替換，此時chkrootkit的檢測結(jié)果將變得完全不可信。為了避免chkrootkit的這個問題，可以在服務器對外開放前，事先將chkrootkit使用的系統(tǒng)命令進行備份，在需要的時候使用備份的原始系統(tǒng)命令讓chkrootkit對rootkit進行檢測。

2、rootkit后門檢測工具RKHunter RKHunter是一款專業(yè)的檢測系統(tǒng)是否感染rootkit的工具，它通過執(zhí)行一系列的腳本來確認服務器是否已經(jīng)感染rootkit。在官方的資料中，RKHunter可以作的事情有：MD5校驗測試，檢測文件是否有改動

檢測rootkit使用的二進制和系統(tǒng)工具文件 檢測特洛伊木馬程序的特征碼 檢測常用程序的文件屬性是否異常 檢測系統(tǒng)相關(guān)的測試 檢測隱藏文件 檢測可疑的核心模塊LKM 檢測系統(tǒng)已啟動的監(jiān)聽端口

在Linux終端使用rkhunter來檢測，更大的好處在于每項的檢測結(jié)果都有不同的顏色顯示，如果是綠色的表示沒有問題，如果是紅色的，那就要引起關(guān)注了。另外，在執(zhí)行檢測的過程中，在每個部分檢測完成后，需要以Enter鍵來繼續(xù)。如果要讓程序自動運行，可以執(zhí)行如下命令：

# /usr/local/bin/rkhunter –check –skip-keypress

同時，如果想讓檢測程序每天定時運行，那么可以在/etc/crontab中加入如下內(nèi)容：

* * * root /usr/local/bin/rkhunter –check –cronjob

關(guān)于linux日志與審核策略配置的介紹到此就結(jié)束了，不知道你從中找到你需要的信息了嗎 ？如果你還想了解更多這方面的信息，記得收藏關(guān)注本站。

成都服務器租用選創(chuàng)新互聯(lián)，先試用再開通。
創(chuàng)新互聯(lián)（www.cdcxhl.com）提供簡單好用，價格厚道的香港/美國云服務器和獨立服務器。物理服務器托管租用：四川成都、綿陽、重慶、貴陽機房服務器托管租用。

當前文章：Linux日志與審核：配置策略全解析 (linux日志與審核策略配置)
網(wǎng)站路徑：http://m.5511xx.com/article/codsici.html