湖南必去十大景点排名,网站优化策划书,房产网站建设机构,如何查看实时街景地图日志文件存储有关操作系统和应用程序运行时发生的事件的信息#xff0c;包括任何错误和安全警报。
rsyslog 日志守护进程
Linux 使用名为 syslogd 的守护进程自动记录计算机上的事件。
rsyslog 配置文件
与 Linux 中的几乎所有应用程序一样#xff0c;rsyslog 由位于 /et…日志文件存储有关操作系统和应用程序运行时发生的事件的信息包括任何错误和安全警报。
rsyslog 日志守护进程
Linux 使用名为 syslogd 的守护进程自动记录计算机上的事件。
rsyslog 配置文件
与 Linux 中的几乎所有应用程序一样rsyslog 由位于 /etc 目录中的纯文本配置文件与 Linux 中的情况一样进行管理和配置。对于 rsyslog配置文件位于 /etc/rsyslog.conf。
rsyslog 日志记录规则
rsyslog 规则确定记录什么类型的信息、记录哪些程序的消息以及该日志的存储位置。
使用 logrotate 自动清理日志
您的系统已经使用 logrotate 实用程序的 cron 作业来轮换日志文件。 您可以使用 /etc/logrotate.conf 文本文件配置 logrotate 实用程序以选择日志轮换的规律。
保持隐秘
一旦你入侵了 Linux 系统禁用日志记录并删除日志文件中任何入侵的证据以减少被发现的机会会很有用。 有很多方法可以做到这一点每种方法都有自己的风险和可靠性。
移除证据
更好、更安全的解决方案是粉碎日志文件。 使用其他文件删除系统熟练的调查员仍然能够恢复已删除的文件已删除的文件只是可以被文件系统覆盖它们仍然存在直到被覆盖但假设有一种方法可以删除文件并多次覆盖它使其更难以恢复。 幸运的是Linux 有一个内置命令恰当地命名为 shred就是为了这个目的。
shred 本身会删除文件并覆盖它几次默认情况下shred 会覆盖四次。 一般来说文件被覆盖的次数越多恢复就越困难但请记住每次覆盖都需要时间因此对于非常大的文件粉碎可能会变得非常耗时。
要包含的两个有用选项是 -f 选项它更改文件的权限以便在需要更改权限时允许覆盖以及 -n 选项它允许您选择覆盖文件的次数。 例如我们将使用以下命令将 /var/log/auth.log 中的日志文件粉碎 10 次shred -f -n 10 /var/log/auth.log.*
一旦你粉碎了一个文件你会发现里面的内容是难以辨认的乱码。
禁用日志记录
掩盖踪迹的另一个选择是简单地禁用日志记录。 当黑客控制系统时他们可以立即禁用日志记录以防止系统跟踪他们的活动。 当然这需要 root 权限。
要禁用所有日志记录黑客只需停止 rsyslog 守护进程即可。 在 Linux 中停止任何服务都使用相同的语法如下所示service servicename start|stop|restart
因此要停止日志守护进程您只需输入以下命令service rsyslog stop
