Unix的日志文件系统

Ｕｎｉｘ的日志文件系统　

Ｂｌａｃｋｅｙｅｓ　１９９９．７．２７　

参考书目：

〈Ｉｎｔｅｒｎｅｔ安全技术　〉

〈Ｕｎｉｘ技术大全〉　

〈计算机网络安全工具〉　

〈网络安全技术内幕〉

前　言　

真正的黑客永远都是我们崇敬的偶像！因为他们对网络的发展做出了自己的贡献。但现在好象自称黑客　的人越来越多了，难道你进入过一些机器且利用溢出得到了ｒｏｏｔ权限就算是一个真正的黑客了吗？别的就不说了，你可能以为擦了ｕｔｍ＊，ｗｔｍ＊，ｌａｓｔｌｏｇ　等等，你就神出鬼没，来去无踪了，其实很可能差得太远了，你　的一举一动也许被记录的一清二楚，就算你跳过了，就算你改动了系统时间。。。　

这么说吧，

l你对Ｕｎｉｘ的日志系统清楚吗？　

l你知道你攻击前的每次Ｆｉｎｇｅｒ都可能被记录吗？　

l你考虑过管理员设置的第三方监控软件吗？　

l你知道Ｓｗａｔｃｈ，Ｔｒｉｐｗｉｒｅ吗？　

l你知道跨越网络登记吗？　

．．．　

如果你进入一些机器后，只是想学习一下系统操作，想找个编译资源，管理员也许会容忍你，但如果　你要是搞出了什么事情，你可不要有任何的侥幸心理，掩耳盗铃的事情最好不去做！

好了！大家还是认真学习些东西吧！尽我们自己的能力做些有益的事情。

基本日志文件

不同版本的Ｕｎｉｘ日志文件的目录是不同的，最常用的目录是：l／ｕｓｒ／ａｄｍ　早期版本的　

lＵｎｉｘ　／ｖａｒ／ａｄｍ　较新版本的　

lＵｎｉｘ　／ｖａｒ／ｌｏｇ　用于Ｓｏｌａｒｉｓ，Ｌｉｎｕｘ，ＢＳＤ等　

l／ｅｔｃ　Ｕｎｉｘ　ｓｙｓｔｅｍ　Ｖ早期版本　

在这些目录下，或其子目录下，你可以找到以下日志文件（也许是其中的一部分）：

lｌａｓｔｌｏｇ　记录用户最后一次成功登录时间　

lｌｏｇｉｎｌｏｇ　不良的登陆尝试记录　

lｍｅｓｓａｇｅｓ　记录输出到系统主控台以及由ｓｙｓｌｏｇ系统服务程序产生的消息　

lｕｔｍｐ　记录当前登录的每个用户　

lｕｔｍｐｘ　扩展的ｕｔｍｐ　

lｗｔｍｐ　记录每一次用户登录和注销的历史信息　ｗｔｍｐｘ　扩展的ｗｔｍｐ　

lｖｏｌｄ．ｌｏｇ　记录使用外部介质出现的错误　

lｘｆｅｒｋｉｇ　记录Ｆｔｐ的存取情况　ｓｕｌｏｇ　记录ｓｕ命令的使用情

况　

lａｃｃｔ　记录每个用户使用过的命令　

lａｃｕｌｏｇ　拨出自动呼叫记录　

下面按顺序仔细介绍一下　

ｌａｓｔｌｏｇ文件

Ｕｎｉｘ在ｌａｓｔｌｏｇ日志文件中记录每一个用户注册进入系统的最后时

间，在你每一次进入系统时，系统会显示出这个时间：

ｌｏｇｉｎ：　ｂｌａｃｋｅｙｅｓ　

ｐａｓｓｗｏｒｄ：　ｈ３ｌｌ０

Ｌａｓｔ　ｌｏｇｉｎ　：Ｔｕｅ　Ｊｕｌ　２７　０９：５５：５０　ｏｎ　ｔｔｙ０１　

ｌａｓｔｌｏｇ告诉用户，要核对一下最后注册进入系统的时间是否争

确，若系统显示的时间与你上次进入系统的时间不符，说明发生了

非授权用户注册，若这种情况发生了，用户应该马上修改帐户口

令，并通知管理员。

在每次注册时，ｌａｓｔｌｏｇ新的内容冲掉老的内容。

标准版本的Ｕｎｉｘ没有提供服务程序可以阅读ｌａｓｔｌｏｇ文件，有些程

序可以提供这个服务，跟我们这里要　谈的东西关系不太大，以后

再说了。　

ｌｏｇｉｎｌｏｇ文件

Ｕｎｉｘ　ｓｙｓｔｅｍ　Ｖ版本中，可以把不成功的登录行为记录

在／ｖａｒ／ａｄｍ／ｌｏｇｉｎｌｏｇ中。要登记不成功的注册行为，可以用下列

命令建立／ｖａｒ／ａｄｍ／ｌｏｇｉｎｌｏｇ文件：　

＃ｔｏｕｃｈ　／ｖａｒ／ａｄｍ／ｌｏｇｉｎｌｏｇ　

＃ｃｈｍｏｄ　６００　／ｖａｒ／ａｄｍ／ｌｏｇｉｎｌｏｇ

＃ｃｈｏｗｎ　ｒｏｏｔ　／ｖａｒ／ａｄｍ／ｌｏｇｉｎｌｏｇ　

如果你知道一个系统的用户名，而你又想猜出密

码，／ｖａｒ／ａｄｍ／ｌｏｇｉｎｌｏｇ就会记录你的失败的登录尝试　管理员看

看／ｖａｒ／ａｄｍ／ｌｏｇｉｎｌｏｇ的内容，你的企图就露馅了：

＃ｃａｔ　／ｖａｒ／ａｄｍ／ｌｏｇｉｎｌｏｇ　

ｈａｃｋｅｒ：　ｆｒｏｍ　２０２．８８．８８．ｘｘ：　Ｔｕｅ　Ｊｕｌ　２７　０２：４０：５０　１９９９　

ｈａｃｋｅｒ：　ｆｒｏｍ　２０２．８８．８８．ｘｘ：　Ｔｕｅ　Ｊｕｌ　２７　０２：４１：５０　１９９９　

ｈａｃｋｅｒ：　ｆｒｏｍ　２０２．８８．８８．ｘｘ：　Ｔｕｅ　Ｊｕｌ　２７　０２：４２：５０　１９９９　

ｈａｃｋｅｒ：　ｆｒｏｍ　２０２．８８．８８．ｘｘ：　Ｔｕｅ　Ｊｕｌ　２７　０２：４３：５０　１９９９　

ｈａｃｋｅｒ：　ｆｒｏｍ　２０２．８８．８８．ｘｘ：　Ｔｕｅ　Ｊｕｌ　２７　０２：４４：５０　１９９９

待续未完

Ｂｌａｃｋｅｙｅｓ　１９９９．７．２７

本文由ｉｓｂａｓｅ成员编译或原创，如要转载请保持文章的完整性

欢迎访问我们的站点ｈｔｔｐ：／／ｗｗｗ．ｉｓｂａｓｅ．ｃｏｍ

绿色兵团给你安全的保证

中国网络安全站点，ｉｓｂａｓｅ（绿色兵团），已经正式

注册！任何媒体在未经许可的情况下不得擅自使用，

如有发现侵权行为将一追到底，如要转摘我们的文章

必须得到我们的同意，且必须保持原文的完整性。

ｗｅｂｍａｓｔｅｒ＠ｉｓｂａｓｅ．ｃｏｍ　

Ｃｏｐｙｒｉｇｈｔ　©１９９９　ｉｓｂａｓｅ，　Ｉｎｃ．　ｉｓｂａｓｅ　ｉｓ　ａ　ｔｒａｄｅｍａｒｋ　ｏｆ　

ｉｓｂａｓｅ，　Ｉｎｃ．