UNIX入侵检测( 三 ) _云知道

######.offset，其中######是检查的日志文件名。文件中记录了logtail开始处理的偏
移量，如果删除掉，则从文件开始处进行处理。Logcheck跟踪日志文件的inode号和文
件大小，如果inode号发生变化，或者是文件大小比上次运行时的小，logtail会重置
偏移量，处理整个文件。Logcheck.hacking 文件中包含了系统受到攻击时的关键字。这个文件的关键字比
较稀少，除非能知道某种特定的攻击方式的特征。缺省的关键字是ＩＳＳ（Internet
Security Scanner）攻击产生的，或者是sendmail中的地址栏里的非法语法。在日志文
件中找到了关键字就会给管理员发信。logcheck.violations 文件中包含了产生否定或拒绝信息的系统事件。如denIEd，
refused等。logcheck.violations.ignore　文件中包含了要对logcheck.violations进行反向
查找的关键字。3.2.4 配置为了使logcheck运行正常，先要对syslog.conf进行配置，你应该根据自己的需要
进行配置，下面给出的只是一个例子。把下面的内容加到/etc/syslog.conf中#记录mail，news以外的消息
*.*;mail.none;news.none -/var/log/messages
#记录认证请求
auth.*;authpriv.* /var/log/authlog
#记录所有的内核消息
kern.* /var/log/kernlog
#记录警告和错误消息
*.warn;*.err /var/log/syslog这四个文件/var/log/messages，/var/log/authlog，/var/log/kernlog，
/var/log/syslog也就是logcheck要检查的日志文件。重起syslog，［root@only_you］#/etc/rc.d/init.d/syslog restart用编辑器（vi等）打开文件/usr/local/etc/logcheck.sh，在其中会找到下面的内
容# Linux Red Hat Version 3.x, 4.x
$LOGTAIL /var/log/messages > $TMPDIR/check.$$
$LOGTAIL /var/log/secure >> $TMPDIR/check.$$
$LOGTAIL /var/log/maillog >> $TMPDIR/check.$$这是logcheck自带的内容，也就是logcheck要检查的日志文件，把它该为下面的内
容，使之于syslog.conf的内容相一致：（应该根据你配置的syslog.conf进行修改）$LOGTAIL /var/log/messages > $TMPDIR/check.$$
$LOGTAIL /var/log/authlog >> $TMPDIR/check.$$
$LOGTAIL /var/log/kernlog >> $TMPDIR/check.$$
$LOGTAIL /var/log/syslog >> $TMPDIR/check.$$还可以找到一行为　SYSADMIN=root，指的是发邮件时的收信人，缺省为
root@localhost，本机的root用户，如果机器与Internet相连，也可以指定真实的帐
号，我就把它改为了only_you@linuxaid.com.cn，这样就可以随时收到邮件了，不须用
root帐号登录到linux机器上去。在/etc/crontab中增加一项，让cron定时启动logcheck 。关于cron的用法请参考相
应文档。00,10,20,30,40,50 * * * * root /usr/local/etc/logcheck.sh每10分钟运行一次。3.2.5 测试都配置好了，试试效果如何吧。登录一下，故意输错口令，看看有什么事情发生。
１０分钟以后，我的only_you@linuxaid.com.cn信箱真的收到了一封信，信的内容大致
如下：Apr 26 13:51:13 only_you -- wap[1068]: LOGIN ON pts/1 BY wap FROM
*.*.*.*
Apr 26 13:51:24 only_you PAM_unix[1092]: authentication failure;
wap(uid=500) -> root for system-auth service刚装好不长时间，logcheck就报告有人试图登录到我的机器上来，不知道这位IP为
211.69.197.1的朋友想干什么。Security Violations
=-=-=-=-=-=-=-=-=-=
Apr 26 15:30:53 only_you xinetd[528]: refused connect from 211.69.197.1
Apr 26 15:30:53 only_you xinetd[528]: refused connect from 211.69.197.1
Unusual System Events
=-=-=-=-=-=-=-=-=-=-=
Apr 26 15:30:53 only_you xinetd[528]: refused connect from 211.69.197.1
Apr 26 15:30:53 only_you xinetd[528]: refused connect from 211.69.197.1

UNIX入侵检测( 三 )

推荐阅读

防uv玻璃是什么意思

阴虚阳虚区别怎样区分阳虚和阴虚

水产养殖用药误区

怎样杀木头中的粉蛀虫

古代吞金而死是真的吗古代的吞金自杀是怎么回事

仙剑奇侠传六界情缘燎日阎罗王以及句芒怎么打 boss打法攻略

化石是怎么形成的怎么能形成化石

郑州市有多大面积

《星际争霸2》解说：BoxER战JinRo,气势恢弘TVT

8朵红玫瑰花语是什么，十八朵红玫瑰花代表什么意思

美菱售后服务电话多少，金鹏客服热线是多少

天热总感觉胸闷心慌无法呼吸

美术文化包含什么,文化领域艺术包含哪些方面

傅克刚，傅克刚哪里人

十万左右合资车买什么车好十万左右买什么车合资车比较好

R1搜不到信号