日志与审计管理

    1、捕获authpriv消息：

 

描述：启用日志，可以记录，查询攻击行为）

 

# vi etc/syslog.conf    //注意linux centos 6.5不存在syslog.conf这个文件，被改为rsyslog.conf

 

authpriv.*       /var/log/secure     //在文件里空白处写入上述内容

 

#service syslogd restart            //重启syslogd服务，linux centos6之后改为：service rsyslog restart

 

       2、日志存储

 

描述：日志存储在日志服务器中，可以防止攻击者删除日志，也可以使日志长时间保存。

#vi /etc/sysconfig/syslog   //centos 6版本将syslog文件改为rsyslog

 

SYSLOGD_OPTIONS="-m 0" 修改成：SYSLOGD_OPTIONS="-r -m 0"   //“-r”表示启用记录远程主机的日志

 

#vi /etc/rsyslog.conf

 

*.* @192.168.0.1     //将本机的日志记录到192.168.0.1这台服务器上

 

#service rsyslog restart   //重启日志服务

 

    3、日志系统配置文件保护

 

描述：日志文件的保护，可以防止攻击者对日志配置文件的访问

#chmod 400  /etc/syslog.conf   //修改日志配置文件只有管理员可读

#chmod 644 /etc/syslog.conf    //无风险。回退措施