UNIX入侵检测
1.概述
入侵检测(Intrusion Detection),顾名思义,便是对入侵行为的发觉 。它通过
对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或
系统中是否有违反安全策略的行为和被攻击的迹象 。进行入侵检测的软件与硬件的组合
便是入侵检测系统(Intrusion Detection System,简称IDS) 。与其他安全产品不同的
是,入侵检测系统需要更多的智能,它必须可以将得到的数据进行分析,并得出有用的
结果 。一个合格的入侵检测系统能大大的简化管理员的工作,保证网络安全的运行 。
日志是使系统顺利运行的重要保障 。它会告诉我们系统发生了什么和什么没有发
生 。然而,由于日志记录增加得太快了,铺天盖地的日志使系统管理员茫然无措,最终
使日志成为浪费大量磁盘空间的垃圾 。日志具有无可替代的价值,但不幸的是它们经常
被忽略,因为系统管理员在并不充裕的时间里难以查看大量的信息 。标准的日志功能不
能自动过滤和检查日志记录,并提供系统管理员所需要的信息 。对于入侵者来说,要做的第一件事就是清除入侵的痕迹 。这需要入侵者获得root权
限,而一旦系统日志被修改,就无法追查到攻击的情况 。因此,好的系统管理员应该建
立日志文件检测 。有很多工具可以实现日志检测的功能,其中就有Logcheck和Swatch 。
本文将对Logcheck和Swatch逐一进行介绍 。2.日志文件系统审计和日志功能对于系统来说是非常重要的,可以把感兴趣的操作都记录下来,供
分析和检查 。Unix采用了syslog工具来实现此功能,如果配置正确的话,所有在主机上
发生的事情都会被记录下来,不管是好的还是坏的 。Syslog已被许多日志系统采纳,它用在许多保护措施中--任何程序都可以通过
syslog记录事件 。Syslog可以记录系统事件,可以写到一个文件或设备中,或给用户发
送一个信息 。它能记录本地事件或通过网络纪录另一个主机上的事件 。Syslog依据两个重要的文件:/sbin/syslogd(守护进程)和/etc/syslog.conf配
置文件,习惯上,多数syslog信息被写到/var/adm或/var/log目录下的信息文件中
(messages.*) 。一个典型的syslog纪录包括生成程序的名字和一个文本信息 。它还包
括一个设备和一个行为级别(但不在日志中出现) 。/etc/syslog.conf的一般格式如下:设备.行为级别 [;设备.行为级别]记录行为
设备 描述
auth 认证系统:login、su、getty等,即询问用户名和口令
authpriv同LOG_AUTH,但只登录到所选择的单个用户可读的文件中
cron cron守护进程
daemon其他系统守护进程,如routed
kern内核产生的消息
lpr 打印机系统:lpr、lpd
mail电子邮件系统
news网络新闻系统
syslog由syslogd产生的内部消息
user随机用户进程产生的消息
uucpUUCP子系统
local0~local7 为本地使用保留
行为级别描述
debug 包含调试的信息,通常旨在调试一个程序时使用
info情报信息
notice 不是错误情况,但是可能需要处理
warn(warning) 警告信息
err(error) 错误信息
推荐阅读
- 在UNIX 系统下得到字符点阵信息
- UNIX进程之间的通信
- 2 SCO UNIX讲座
- SCO UNIX系统故障特征、分析及解决
- 在Unix终端上实现多屏功能
- 口令篇 UNIX系统的安全
- unixware和unix openserver比较二
- Cisco路由器配置信息在Unix下的备份、恢复与更新
- SCO UNIX基础讲座--第十二讲:使用 TCP/IP
- UNIX操作系统tar命令之隐患及解决方法