ΪC2��ȫ�ȼ�����ϵͳ����������������Solaris����Ҫ�İ�ȫ����֮һ������ƹ��ܣ����Ľ�����Solaris��ƹ��ܵ�ʹ�ú�������
Ŀ�ģ���¼ϵͳ���û��¼���������ƹ����������б���������ֵ��ע��ľ��Ǽ�¼�¼���ϸ�ȡ�Solaris�ṩ�˺�ǿ�����ƹ��ܣ��������Լ�¼ÿһ��������Ϣ�������������Dz����ǵģ���Ϊ�ܶ���Ϣ���û�û�ã����һ�ʹϵͳ�����½������ϸ����Ҫ����Ա������;����Ҫ���ж��ơ�
ʵ�֣�
1. �鿴��־
1) history�ļ�
ͨ���ڸ�Ŀ¼�£������ļ�����¼��rootִ�е�����
2) /var/adm
sulog����������ͨ�û�����su��Ϊ�����û��ļ�¼�����ĸ�ʽΪ�� ����ʱ�� +/-(�ɹ�/ʧ��) pts��
utmpx���������ļ��Dz��߿ɶ��Եģ����Ǽ�¼�ŵ�ǰ��¼�������ϵ��û�������Ա������w��who����������
wtmpx���൱����ʷ��¼����¼�����е�¼���������û���ʱ�䣬��Դ�����ݣ�����last��������
3) /var/log
syslog�ļ�������ļ�������һ���Ǽ�¼mail�¼���
2. syslog
1) ʵʱ�����飺
tail -f /var/adm/messages
-f�ڼ���������������ÿ����¼ /var/adm/messages��¼�¼�·��
*.err;kern.debug;deamon.notice;mail.crit /var/adm/messages
�����Ͽɵ�ֵ
ֵ ����
user �û����̲�������Ϣ����������û�����ļ��б��е��豸����Ϣ��Ĭ�����ȼ�
kern ���ں˲�������Ϣ
mail �ʼ�ϵͳ
daemon ϵͳ�ػ�����
auth ��Ȩϵͳ����login��su
lpr ��ʽ��ӡ�����ѻ�ϵͳ
news ��������ϵͳUSENET����ֵ
uucp ΪUUCPϵͳ����ֵ��ĿǰUUCP��ʹ��syslog����
cron Cron/at���ߣ�crontab��at��cron
local0-7 Ϊ����ʹ�ñ���
mark �ڲ�������syslog������ʱ�����Ϣ
* ����ǹ���֮������й���
�����Ͽɵ�ֵ������Ҫ�Խ������У�
emerg ����ͨ������㲥�������û��Ŀֻ����
alert ������������������������类��ϵͳ���ݿ�
crit �û��Թؼ�����ĸ澯�������豸����
err ������������
warning �������еľ�����Ϣ
notice ����û�д����ǿ�����Ҫ�ر����������
info ֪ͨ��Ϣ
debug ����ͨ��ֻ�ڵ���ʱ��ʹ�õ���Ϣ
none �����ʹ�ָ�����豸��������Ϣ��ѡ���ļ���
3) �������Ҫ��¼��¼��Ϣ��telnet����������������
/etc/default/login�У�SYSLOG=YES
������־��¼��/export/home/wangyu/log�ļ��У��м䲻�ǿո���Tab��
��������syslog�ػ�����
��telnet��ȥ��ʱ�����ǿ���/export/home/wangyu/log���У�
Sep 11 10:07:25 hlstar login: [ID 254462 auth.notice] ROOT LOGIN /dev/pts/1 FROM 192.168.0.9
3. Loghost
*.err;kern.debug;deamon.notice;mail.crit @loghost
����¼��¼��Ϣ��
��������syslog�ػ�����
�����������ʹ��linux����־������
[root@wangyu root]#/sbin/setup
�����ý���-->firewall configuration-->custom-->other ports:
� syslog:udp
������������ǽ
/etc/init.d/iptables restart����/etc/init.d/ipchains restart
����loghost����������־���ݣ���/etc/sysconfig/syslog�����ļ���
�� SYSLOGD_OPTIONS="-m 0" Ϊ SYSLOGD_OPTIONS="-r -m 0"
��������syslog�ػ�����
��ʱ/var/log/messages���¶˸����ῴ�������������Ϣ
Aug 11 21:20:30 logserver syslogd 1.3-3: restart. (remote reception)
��telnet��ȥ��ʱ�����ǿ���/var/log/messages���������������Ϣ��
Sep 5 11:08:31 mastadon login: [ID 507249 auth.notice] Login failure on /dev/pts/3 from 192.168.0.9, root
4. ����
Solaris����ϵͳ����ͨ��������־�ļ����Զ�ÿ���û���ÿһ��������м�¼����һ����Ĭ���Dz����ŵ�
����/usr/lib/acct/accton [·��][�ļ���]
����/usr/lib/acct/accton /export/home/wangyu/test������־��¼��test�У�
�鿴��ʱ���ļ��ƶ���/var/admĿ¼�£�����Ϊpacct
ִ�в鿴����lastcomm������鿴�û�root��������lastcomm root��
1) ����BSM��
# init 1 (����������ı����м����û�״̬)
#/etc/security/bsmconv (����BSM��ʼ���ű���������ƹ���)
# reboot (��������ϵͳ������Ctrl+D�ı䵽���û�״̬)
2) �ر�BSM��ƹ��ܣ�
# init 1
# /etc/security/bsmunconv
# reboot
3) �����ļ��Ĺ��ܣ�
BSM���е������ļ��������/etc/securityĿ¼��( (4)������ϸ��Ϣ�쿴man (4) )��
? audit_class(4)
��������
? audit_control(4)
��ƽ��̿�����Ϣ
? audit_data(4)
��ƽ��̵�ǰ��Ϣ
? audit.log(4)�����־��ʽ
? audit_event(4)
ʱ�䶨�嵽����ӳ���ļ�
? audit_user(4)
���û����ʱ���û������ļ�
��������������ļ�֮�⣬ϵͳ�л���һЩ����BSM�����Ľű���
? audit_startup(1M)
����BSM��������
? auditconfig(1M)
��ȡ�����ļ�����������audit���̡�
? auditd(1M)
��Ƽ�ط���
? auditreduce(1M)
����¼���־���������Ե�����־��ʽ������ʱ�����ڵ���Ϣ��
? auditstat(1M)
�����ں���ƽ���״̬��
? bsmconv(1M)
����BSM���ܡ�
? bsmunconv(1M)
�ر�BSM���ܡ�
? praudit(1M)
��ӡBSM�����־���ݡ�
4) BSMӦ��
? ��Ĭ����������£�BSMÿ��(24Сʱ)������һ���Ե�������Ϊ���ֵ������־�������/var/auditĿ¼�£�����ļ������Լ������ݽṹ������ֱ�Ӳ鿴ʱ�����룬����ʹ��ϵͳ���� praudit���鿴��
# praudit /var/audit/xxxxxx.xxxxxx.log
? ��һ�������õ���������auditreduce �����������������Ա�������־��һЩ���ã������������¼�������������־�������ڵȵȡ�auditreduce��praudit��ϵͳ��BSM���������������������������������൱��Ĺ��ܣ�
�ùܵ����������������ʾϵͳ�����е���ʷ����¼���
# auditreduce | praudit
�ټ���lp��������������¼�ֱ�Ӵ�ӡ������
# auditreduce | praudit | lp
���ϵͳ�����൱��������Ϣ�Ļ������ҽ��Ƿdz����ѵ����飬�������������yymmdd��ʱ���ʽ��ʾĿ��ʱ����ڵ�����¼�������Ϊ��ʾApril 13, 1990, �û�fred�� ��¼��� ����¼�����
# auditreduce -d 900413 -u fred -c lo | praudit
����Ŀ��ʱ�����еĵ�¼��־��Ϣ(Class:lo)�����������һ����������־�ļ��У�
# auditreduce -c lo -d 870413 -O /usr/audit_summary/logins
auditreduce�� -b �� -a ѡ�������û����� yyyymmdd00:00:00 ��ʱ���ʽ�ƶ�һ��ʱ���(Before & After)��
# auditreduce -a 91071500:00:00 | praudit
# auditreduce -b 91071500:00:00 | praudit
5) �������ߣ�
? eXpert-BSMTM
һ����ǿ�����ҵBSM�������ߣ�����ĿǰҲ�������ʹ�ã�֧��Solaris 7/8 (Sparc|Intel)ƽ̨�������������ַ���ء�
? Sun WBEM
Solaris���õ�ͼ�ν���������ߣ�Ҳ����AdminConsole����WBEM 2.3֮��İ汾֧�ֶ�BSM��Ϣ�Ĺ����������������������
# /usr/sadm/bin/wbemadmin (��һ������ʱ�ᰲװһϵ�еĹ����ű�)
# /usr/sadm/bin/smc (���������ն�)
���ϣ���Solaris���ϵͳ���������ã����Ŵ��û���Ϊ��������Ϊ������¼�����ˣ����Ҷ���־����Ҳ������һ���������������Ա�ܼ�ʱ������־�����ſ��Բ����������ͼ����Ϊ��
