日志与审计管理

    1、捕获authpriv消息:

 

描述:启用日志,可以记录,查询攻击行为)

 

# vi etc/syslog.conf    //注意linux centos 6.5不存在syslog.conf这个文件,被改为rsyslog.conf

 

authpriv.*       /var/log/secure     //在文件里空白处写入上述内容

 

#service syslogd restart            //重启syslogd服务,linux centos6之后改为:service rsyslog restart

 

       2、日志存储

 

述:日志存储在日志服务器中,可以防止攻击者删除日志,也可以使日志长时间保存。

#vi /etc/sysconfig/syslog   //centos 6版本将syslog文件改为rsyslog

 

SYSLOGD_OPTIONS="-m 0" 修改成:SYSLOGD_OPTIONS="-r -m 0"   //“-r”表示启用记录远程主机的日志

 

#vi /etc/rsyslog.conf

 

*.* @192.168.0.1     //将本机的日志记录到192.168.0.1这台服务器上

 

#service rsyslog restart   //重启日志服务

 

    3、日志系统配置文件保护

 

描述:日志文件的保护,可以防止攻击者对日志配置文件的访问

#chmod 400  /etc/syslog.conf   //修改日志配置文件只有管理员可读

#chmod 644 /etc/syslog.conf    //无风险。回退措施

 

 

你可能感兴趣的:(日志与审计管理)