日志也是用戶應該注意的地方之一。不要低估日志文件對網絡安全的重要作用,因為日志文件能夠詳細記錄系統每天發生的各種各樣的事件。用戶可以通過日志文件檢查錯誤產生的原因,或者在受到攻擊和黑客入侵時追蹤攻擊者的蹤跡。
日志的兩個比較重要的作用是:審核和監測。配置好的Linux的日志非常強大。對於Linux系統而言,所有的日志文件都在/var/log下。默認情況下,Linux的日志文件已經足夠強大,但沒有記錄FTP的活動。用戶可以通過修改/etc/ftpacess讓系統記錄FTP的一切活動。
Linux日志系統
日志對於系統的安全來說非常重要,它記錄了系統每天發生的各種各樣的事情,用戶可以通過它來檢查錯誤發生的原因,或者尋找受到攻擊時攻擊者留下的痕跡。日志主要的功能是審計和監測。它還可以實時地監測系統狀態,監測和追蹤侵入者。
Linux系統一般有3個主要的日志子系統:連接時間日志、進程統計日志和錯誤日志。
連接時間日志
連接時間日志由多個程序執行,把記錄寫入到/var/og/wtmp和/var/run/utmp。ogin等程序更新wtmp和utmp文件,使系統管理員能夠跟蹤誰在何時登錄到系統。
進程統計日志
進程統計日志由系統內核執行。當一個進程終止時,為每個進程往進程統計文件(pacct或acct)中寫一個記錄。進程統計的目的是為系統中的基本服務提供命令使用統計。
錯誤日志
錯誤日志由sysogd(8)執行。各種系統守護進程、用戶程序和內核通過sysog(3)向文件/var/og/messages報告值得注意的事件。另外還有許多UNIX類程序創建日志,像HTTP和FTP這樣提供網絡服務的服務器也有詳細的日志