實(shí)戰(zhàn)搭建L inux 遠(yuǎn)程日志服務(wù)器

王繼敏

（河南科技學(xué)院信息工程學(xué)院，河南 新鄉(xiāng) 453003）

【關(guān)鍵字】Linux；日志

0 引言

日志服務(wù)器將系統(tǒng)上發(fā)生的重要事件記錄下來(lái)，以協(xié)助系統(tǒng)管理員進(jìn)行安全分析、 故障排查及合規(guī)審計(jì)等。 但如果遭受到非法入侵， 入侵者會(huì)刪除日志以防止入侵行為被追蹤， 而將日志記錄在遠(yuǎn)程服務(wù)器就可以避免這種情況。 常見的Linux 發(fā)行版都是采用的rsyslog 來(lái)實(shí)現(xiàn)日志服務(wù)的， 并可以較方便的將一臺(tái)Linux 主機(jī)配置為遠(yuǎn)程日志服務(wù)器。本文將闡述相關(guān)的技術(shù)原理和實(shí)現(xiàn)方法。

本文所述的命令、 配置文件等都基于RHEL6.3（Redhat Enterprise Linux 6.3）， 不 同Linux 發(fā) 行 版 之 間或許有細(xì)微的差別， 這些差異不在本文的探討范圍之內(nèi)。

1 日志

Linux 下的日志記錄了系統(tǒng)每天發(fā)生的各種各樣的事情， 可以通過(guò)它來(lái)檢查錯(cuò)誤發(fā)生的原因， 或者受到攻擊時(shí)攻擊者留下的痕跡。 日志主要的功能有： 審計(jì)和監(jiān)測(cè)。 RHEL6 下的日志文件存放在/var/log 目錄下，下面舉幾個(gè)常見日志的例子：

●/var/log/dmesg

核心啟動(dòng)日志。 這個(gè)日志文件記錄了內(nèi)核啟動(dòng)時(shí)候輸出的信息。

●/var/log/messages

系統(tǒng)報(bào)錯(cuò)日志。

●/var/log/maillog

郵件系統(tǒng)日志。

●/var/log/secure

安全信息、認(rèn)證登錄和與xinetd 有關(guān)的日志。

●/var/log/cron

計(jì)劃任務(wù)執(zhí)行成功與否的日志。

●/var/log/wtmp

記錄所有的登錄和登出。可以用last 命令查看所有登錄過(guò)系統(tǒng)的用戶和IP。

●/var/log/btmp

記錄錯(cuò)誤的登錄嘗試。 可以用lastb 命令查看。 注意， 這個(gè)文件如何突然快速增大， 可能有人試圖暴力破解用戶密碼。

●/var/log/lastlog

記錄每個(gè)用戶的最后登錄信息。

RHEL6 下有一個(gè)tailf 命令非常適合用于監(jiān)控日志文 件 的 變 化。 例 如 輸 入 命 令 “tailf /var/log/secure”，這時(shí)， 屏幕顯示的末尾就是系統(tǒng)輸出的最新的安全信息、認(rèn)證登錄和與xinetd 有關(guān)的日志。

2 日志的分類和分級(jí)

Linux 下的日志采用先分類， 然后在每個(gè)類別下分級(jí)的管理模式。 日志種類可以分為七類[1]：

●authpriv 安全認(rèn)證相關(guān)

●cron at 和cron 定時(shí)任務(wù)相關(guān)

●deamon 定時(shí)任務(wù)相關(guān)

●kern 內(nèi)核產(chǎn)生

●lpr 打印系統(tǒng)產(chǎn)生

●mail 郵件系統(tǒng)產(chǎn)生

●syslog 日志服務(wù)本身

除上面列出的七類常見日志以外，還有news（新聞系統(tǒng)相關(guān)）、uucp（unix to unix copy）等日志類型（目前已經(jīng)不太常用）。 另外， 還有l(wèi)ocal0～lobal7 這八個(gè)日志類型， 是系統(tǒng)保留的， 可以供其他程序使用或者用戶自定義使用。

日志又可以分為八種級(jí)別， 按照級(jí)別由低到高分別是：

●debug 排錯(cuò)信息

●info 正常信息

●notice 稍微要注意的

●warn 警告

●err(error) 錯(cuò)誤

●crit(critical) 關(guān)鍵的錯(cuò)誤

●alert 警報(bào)警惕

●emerg(emergence) 緊急突發(fā)事件

3 日志的總管家rsyslog

在RHEL6 中日志由系統(tǒng)服務(wù)rsyslog 進(jìn)行管理和控制。 最小化安裝RHEL6 后，rsyslog 服務(wù)默認(rèn)是開啟的。該服務(wù)的配置文件位于/etc/rsyslog.conf，下面對(duì)該配置文件進(jìn)行簡(jiǎn)單描述。

該配置文件主要分為MODULES 和TOOLS 兩小節(jié)。MODULES 小節(jié)設(shè)置rsyslog 服務(wù)加載的模塊。 其中#號(hào)表示注釋。其中比較重要的是“#$ModLoad imudp”和“#$UDPServerRun 514”兩行，取消掉該行注釋后，表示允許514 端口接收使用UDP 協(xié)議轉(zhuǎn)發(fā)過(guò)來(lái)的日志。 這樣可以把本主機(jī)配置為集中式的日志服務(wù)器， 它接收并存儲(chǔ)其它主機(jī)的日志，提高了整個(gè)系統(tǒng)的安全性。 “#$ModLoad imtcp”和“#$InputTCPServerRun 514”功能相同，只不過(guò)采用的是TCP 協(xié)議。

RULES 這一節(jié)定義了不同類型和級(jí)別的日志應(yīng)存放 在 哪 里。 例 如，“*.info;mail.none;authpriv.none;cron.none /var/log/messages” 表 示 除 了mail 日 志、authpriv 日志和cron 日志之外， 其它的所有類型info 級(jí)別及以上的日志都存放在/var/log/messages 下。

4 配置遠(yuǎn)程日志服務(wù)器

使用虛擬機(jī)作為實(shí)驗(yàn)環(huán)境， 首先啟動(dòng)兩臺(tái)RHEL6虛擬機(jī)，其中一臺(tái)主機(jī)ip 地址為192.168.1.111，將其設(shè)置為日志服務(wù)器。 另一臺(tái)ip 地址192.168.1.112，設(shè)置為客戶端用于測(cè)試日志服務(wù)器是否正確配置。

然后配置日志服務(wù)器主機(jī)的/etc/rsyslog.conf 文件，并重啟rsyslog 服務(wù)。以下給出/etc/rsyslog.conf 文件需要修改的地方，及重啟服務(wù)的命令：

# vi /etc/rsyslog.conf

......

# Provides UDP syslog reception

$ModLoad imudp

$UDPServerRun 514

......

# service rsyslog restart

接下來(lái)配置客戶端主機(jī)的/etc/rsyslog.conf 文件，定義其日志向日志服務(wù)器發(fā)送，然后重啟rsyslog 服務(wù)。以下給出/etc/rsyslog.conf 文件需要修改的地方，及重啟服務(wù)的命令：

# vi /etc/rsyslog.conf

......

#### RULES ####

......

*.info @192.168.1.111

......

# service rsyslog restart

最后配置日志服務(wù)器主機(jī)的防火墻， 使其可以接收客戶端發(fā)來(lái)的日志信息。 簡(jiǎn)單起見， 這里直接用命令“iptalbes -F”關(guān)閉日志服務(wù)器主機(jī)的防火墻。 此時(shí)就可以測(cè)試一下， 遠(yuǎn)程日志服務(wù)器是否配置成功了。例如客戶端主機(jī)用logger 命令產(chǎn)生一條日志， 用tailf觀察一下日志服務(wù)器的日志變化。

經(jīng)過(guò)這樣的搭建，ip 地址為192.168.1.112 的Linux主 機(jī) 上 的 日 志 信 息， 將 會(huì) 發(fā) 送 到 ip 地 址 為192.168.1.111 的遠(yuǎn)程日志服務(wù)器上。

如果整個(gè)系統(tǒng)有多臺(tái)Linux 主機(jī)提供網(wǎng)絡(luò)服務(wù)，那么配置一臺(tái)集中式的遠(yuǎn)程日志服務(wù)器負(fù)責(zé)接收多臺(tái)Linux 主機(jī)的日志信息， 不僅加強(qiáng)了日志信息的安全，而且管理員只需要查看日志服務(wù)器上的信息即可以掌握整個(gè)系統(tǒng)的運(yùn)行狀況，方便管理。

5 結(jié)束語(yǔ)

日志服務(wù)器在系統(tǒng)的運(yùn)行維護(hù)過(guò)程中起到重要的作用， 可以協(xié)助系統(tǒng)管理員進(jìn)行安全分析、 故障排查及合規(guī)審計(jì)等。 為了避免日志信息被非法入侵者刪除， 可以采用遠(yuǎn)程日志服務(wù)器的方式提升系統(tǒng)安全。通過(guò)RHEL6 中內(nèi)置的rsyslog 軟件包及修改相應(yīng)配置文件，可以方便的架設(shè)遠(yuǎn)程日志服務(wù)器。