第十五章Linux安全設(shè)置1本章內(nèi)容文件的安全設(shè)置ACL磁盤的安全加密日志管理2日志分析及管理日志的功能用于記錄系統(tǒng)、程序運行中發(fā)生的各種事件通過閱讀日志，有助于診斷和解決系統(tǒng)故障日志文件的分類內(nèi)核及系統(tǒng)日志由系統(tǒng)服務(wù)rsyslog統(tǒng)一進行管理，日志格式基本相似用戶日志記錄系統(tǒng)用戶登錄及退出系統(tǒng)的相關(guān)信息程序日志由各種應(yīng)用程序獨立管理的日志文件，記錄格式不統(tǒng)一3日志分析及管理日志保存位置默認位于：/var/log

目錄下主要日志文件介紹內(nèi)核及公共消息日志：/var/log/messages計劃任務(wù)日志：/var/log/cron系統(tǒng)引導日志：/var/log/boot.log郵件系統(tǒng)日志：/var/log/maillog用戶登錄日志：/var/log/lastlog……4內(nèi)核及系統(tǒng)日志由系統(tǒng)服務(wù)rsyslogd

統(tǒng)一管理配置文件：/etc/rsyslog.conf[root@localhost~]#grep-v"^#"/etc/rsyslog.conf|grep-v^$*.info;mail.none;authpriv.none;cron.none /var/log/messagesauthpriv.* /var/log/securemail.* -/var/log/maillogcron.* /var/log/cron……設(shè)備類別.日志級別消息發(fā)送位置5內(nèi)核及系統(tǒng)日志日志消息的級別0EMERG（緊急）：會導致主機系統(tǒng)不可用的情況1ALERT（警告）：必須馬上采取措施解決的問題2CRIT（嚴重）：比較嚴重的情況3ERR（錯誤）：運行出現(xiàn)錯誤4WARNING（提醒）：可能會影響系統(tǒng)功能的事件5NOTICE（注意）：不會影響系統(tǒng)但值得注意6INFO（信息）：一般信息7DEBUG（調(diào)試）：程序或系統(tǒng)調(diào)試信息等數(shù)字越小，表示優(yōu)先級越高、問題越嚴重6[root@localhost~]#tail-5/var/log/messagesSep1411:22:44localhostkernel:sdb:cachedataunavailableSep1411:22:44localhostkernel:sdb:assumingdrivecache:writethroughSep1411:22:44localhostkernel:sdb:sdb1Sep1411:23:37localhostkernel:VFS:Can'tfindext3filesystemondevsdb1.Sep1416:54:48localhost

NetworkManager:<information>starting...內(nèi)核及系統(tǒng)日志日志記錄的一般格式時間標簽主機名子系統(tǒng)名消息字段7用戶日志分析保存了用戶登錄、退出系統(tǒng)等相關(guān)信息/var/log/lastlog：最近的用戶登錄事件/var/log/wtmp：用戶登錄、注銷及系統(tǒng)開、關(guān)機事件/var/run/utmp：當前登錄的每個用戶的詳細信息/var/log/secure：與用戶驗證相關(guān)的安全性事件分析工具who、w、user8輪轉(zhuǎn)日志為避免日志占滿包含/var/log/的文件系統(tǒng)，可以使用輪轉(zhuǎn)日志大多數(shù)日志文件每周輪轉(zhuǎn)一次，通常四周后，丟棄原日志文件使用cron計劃作業(yè)完成輪轉(zhuǎn)日志，使用命令：logrotate程序輪轉(zhuǎn)日志9定位和分析日志報告摘要

安裝logwatch程序，自動分析標準日志，并向root發(fā)送匯總電子郵件10更改日志摘要的郵件地址修改/etc/logwatch/conf/logwatch.conf

空文件，包含本地logwatch設(shè)置，添加

MailTo=student@logwatch

的系統(tǒng)范圍默認設(shè)置保存/usr/share/logwatch/default.conf/logeatch.c