adm/utmp,utmpx
这两个文件是不具可读性的,它们记录着当前登录在主机上的用户,管理员可以用w,who等命令来看,下面为who的输出结果,yiming pts/29 Jun 12 09:24 (11.22.33.44)
yiming pts/28 Jun 12 08:41 (11.22.33.43)
guest pts/30 Jun 12 09:26 (penetrate.hacker.com)
root pts/19 Jun 12 08:19 (:0.0)它的输出很简单,每行依次为用户,pts号,时间,来源地点 。当管理员觉得系统表现可疑时,一般会用这两个命令来看当前用户,如果在输出中有不正常的用户名,或是来源ip较为可疑,则管理员需要引起注意了 。如上述guest这个用户就比较可疑,虽然这个用户名guest是合法的,但这个用户的来源penetrate.Hacker.com看起来可是不太对劲 。系统管理员有必要监视一下这个用户的行为 。有一点要注意,管理员不能完全相信w,who及下面提到的last命令所报告的结果,使用特定的擦除日志软件,如zap之类入侵者可以很轻松的抹掉入侵者的踪迹,一个聪明的入侵者一般会将编译好的擦除软件传到受害主机,并在侵入系统后马上做擦除工作,比如他在受害主机执行zap,如下,./zap -v guest
- WTMP:
WTMP = /var/adm/wtmp
Removing user guest at pos: 131328
Done!
- UTMP:
UTMP = /var/adm/utmp
Removing user guest at pos: 864
Done!
- LASTLOG:
LASTLOG = /var/adm/lastlog
User guest has no wtmp record 。Zeroing lastlog 。。
- WTMPX:
WTMPX = /var/adm/wtmpx
Done!
- UTMPX:
UTMPX = /var/adm/utmpx
Done!此时,在用w看时,我们看看发生了什么变化?yiming pts/29 Jun 12 09:24 (11.22.33.44)
yiming pts/28 Jun 12 08:41 (11.22.33.43)
root pts/19 Jun 12 08:19 (:0.0)我们可以看到入侵者消失了!这对入侵者是个好消息,但对一个安全意识较差的系统管理员而言,这台主机可不大妙了 。建议如果系统看起来不大对劲,而用w,last等看出不出来端倪的话,还是安装其它系统监视软件如ttywatcher,ethereal等仔细审核一下 。
adm/wtmp,wtmps
这两个文件相当于历史纪录,它们记录着所有登录过主机的用户,时间,来源等内容,这两个文件也是不具可读性的 。可用last命令来看,如下 。support pts/13 11.22.33.44 Thu Apr 20 18:40 - 20:50 (02:10)
gogo pts/12 11.22.33.45 Thu Apr 20 1:53 - 17:21 (02:28)
root ftp secu.Unix.com Wed Apr 19 14:58 - 14:58 (00:00)管理员要注意那些发生在不正常时间或是来自可疑地点的登录纪录,如上面输出结果中的gogo用户,这个时间不太正常 。
与上面utmp,utmpx一样,管理员也应该清楚:last只能给你一个大概的参考,不要完全相信last的结果 。
除了上述几个文件外,在/var/log目录下还有一个syslog文件,这个文件的内容一般是纪录mail事件的,管理员应该经常检查有没有异常纪录 。
最后来讲一讲Solaris一个很少被用起但却极为有用的功能---记账 。Solaris操作系统可以通过设置日志文件可以对每个用户的每一条命令进行纪录,这一功能默认是不开放的,为了打开它,需要执行/usr/lib/acct目录下的accton文件,格式如下/usr/lib/acct/accton /var/adm/pacct,在sun的手册上,只有这一种用法,但这样做的缺点是明显的,大多数有经验的入侵者一定不会放过/var/adm和 /var/log这两个目录的,如果它们看到有pacct这个东西,不删才怪 。针对这种情况其实有个很好的解决办法,执行/usr/lib/acct/accton 后面跟一个别的目录和文件即可,如/usr/lib/acct/accton /yiming/log/commandlog,这样入侵者不会在/var/adm/下看到pacct,入侵者也许会删掉message,syslog等日志,但他并不知道实际上他所有的操作都被记录在案,管理员事后只要把commandlog这个文件拷贝到/var/adm下,改为pacct,同时执行读取命令lastcomm,就一切尽在掌握啦 。如lastcomm hack,可得到下面的输出结果:sh S hack pts/7 0.05 secs Mon Jun 12 14:28
推荐阅读
- Solaris平台下的硬盘增设方法小结
- Solaris文件系统分区
- Solaris下Apache和Tomcat配置步骤
- Solaris Java运行环境配置指南
- Solaris操作系统使用小技巧
- Solaris内核proc目录简介
- Solaris 10整合apache与php过程及出错处理
- 在Solaris 下用DVD光盘保存数据
- Solaris10 for x86网卡替换配置攻略
- 下 图解SMC下Solaris用户图形管理