将日志移动到专用的日志服务器里,这可避免入侵者轻易的改动本地日志。下面是常见linux的默认日志文件及其用处:
| /var/log/message – 记录系统日志或当前活动日志。 /var/log/auth.log – 身份认证日志。 /var/log/cron – Crond 日志 (cron 任务). /var/log/maillog – 邮件服务器日志。 /var/log/secure – 认证日志。 /var/log/wtmp 历史登录、注销、启动、停机日志和,lastb命令可以查看登录失败的用户 /var/run/utmp 当前登录的用户信息日志,w、who命令的信息便来源与此 /var/log/yum.log Yum 日志。 |
参考 深度解析CentOS通过日志反查入侵。
11.1 Linux安装logwatch
Logwatch是使用 Perl 开发的一个日志分析工具。能够对Linux 的日志文件进行分析,并自动发送mail给相关处理人员,可定制需求。
Logwatch的mail功能是借助宿主系统自带的 mail server 发邮件的,所以系统需安装mail server , 如sendmail,postfix,Qmail等
安装和配置方法见博文 linux日志监控logwatch。
12.Linux web服务器安全
像apache或tomcat这样的服务端程序在配置时,如果有安全问题存在可以查阅文档进行安全加固。日后有时间再补充到新的文章。
更多Linux服务器安全配置方案请查看以下相关文章
