通过日志系统保障Linux操作系统安全(3)

2．使用Syslog设备

Syslog已被许多日志函数采纳，被用在许多保护措施中，任何程序都可以通过syslog 记录事件。Syslog可以记录系统事件，可以写到一个文件或设备中，或给用户发送一个信息。它能记录本地事件或通过网络记录另一个主机上的事件。

Syslog设备核心包括一个守护进程（/etc/syslogd守护进程）和一个配置文件（/etc/syslog.conf配置文件）。通常情况下，多数syslog信息被写到/var/adm或/var/log目录下的信息文件中（messages.*）。一个典型的syslog记录包括生成程序的名字和一个文本信息。它还包括一个设备和一个优先级范围。

系统管理员通过使用syslog.conf文件，可以对生成的日志的位置及其相关信息进行灵活配置，满足应用的需要。例如，如果想把所有邮件消息记录到一个文件中，则做如下操作:

#Log all the mail messages in one place 

mail.* /var/log/maillog

其他设备也有自己的日志。UUCP和news设备能产生许多外部消息。它把这些消息存到自己的日志（/var/log/spooler）中并把级别限为\"err\"或更高。例如:

# Save news errors of level crit and higher in a special file. 

uucp,news.crit /var/log/spooler

当一个紧急消息到来时，可能想让所有的用户都得到。也可能想让自己的日志接收并保存。

#Everybody gets emergency messages， plus log them on anther machine 

*.emerg * 

*.emerg @linuxaid.com.cn

用户可以在一行中指明所有的设备。下面的例子把info或更高级别的消息送到/var/log/messages，除了mail以外。级别\"none\"禁止一个设备:

#Log anything（except mail）of level info or higher 

#Don\’t log private authentication messages! 

*.info:mail.none;autHPriv.none /var/log/messages

在有些情况下，可以把日志送到打印机，这样网络入侵者怎么修改日志都不能清除入侵的痕迹。因此，syslog设备是一个攻击者的显著目标，破坏了它将会使用户很难发现入侵以及入侵的痕迹，因此要特别注意保护其守护进程以及配置文件。

3．程序日志的使用

许多程序通过维护日志来反映系统的安全状态。su命令允许用户获得另一个用户的权限，所以它的安全很重要，它的文件为sulog，同样的还有sudolog。另外，诸如Apache等Http的服务器都有两个日志: access_log（客户端访问日志）以及error_log（服务出错日志）。 FTP服务的日志记录在xferlog文件当中，Linux下邮件传送服务（sendmail）的日志一般存放在maillog文件当中。

程序日志的创建和使用在很大程度上依赖于用户的良好编程习惯。对于一个优秀的程序员来说，任何与系统安全或者网络安全相关的程序的编写，都应该包含日志功能，这样不但便于程序的调试和纠错，而且更重要的是能够给程序的使用方提供日志的分析功能，从而使系统管理员能够较好地掌握程序乃至系统的运行状况和用户的行为，及时采取行动，排除和阻断意外以及恶意的入侵行为