sis admin
Сообщений: 20
Оценки: 0
Присоединился: 2007-03-15 20:23:13.076666
|
Файлы протоколов работы (log-files).
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
UNIX хранит системные протоколы в следующих файлах:
/var/log/utmp (/etc/utmp) - запись о вашем текущем присутствии в
cистеме. Используется программой who.
/var/log/wtmp (/usr/adm/wtmp) - протокол всех вхождений в систему.
Используется программой last.
/var/log/lastlog (/usr/adm/lastlog) - Дата последнего входа в систему
каждого пользователя. Выдается на экран
программой login.
Это не текстовые файлы и отредактировать их в vi руками не
получится. Для того, чтобы стереть информацию о сво|м присутствии,
надо использовать специальную программу, написанную для этих целей.
Пример такой программы привед|н в приложении 7.
Часто информация о входах пользователей и о некоторых их действиях
(например запуск su) выдается на консоль администратору и в системный
лог, который может называться /var/log/messages. Для модификации этого
файла можно воспользоваться редактором ed или vi.
Программа CRON.
~~~~~~~~~~~~~~~
Cron - программа, которая запускает другие задачи с некоторой
периодичностью. Описание этих задач и времени их запуска хранятся в
файлах в двух директориях: /usr/lib и /usr/spool/cron.
Файл crontab в директории /etc или /usr/lib описывает системные
задачи, которые надо запускать с определ|нной периодичностью. Формат
этого файла:
минуты часы день_месяца месяц_года день_недели коммандная_строка
[0-59] [0-23] [1-31] [1-12] [1-7] [путь, аргументы]
Пример строки из crontab:
0 1 * * * /bin/sync
Это значит, что надо запускать команду sync, содержащуюся в директории
/bin в час ночи каждый день. Команды выполняемые из /usr/lib/crontab
получают привилегии root (UID = 0).
В каталоге /usr/spool/crontabs, содержатся файлы имеющих имена
системных account'ов. Эти файлы содержат поля, сходные с содержащимися
в файле /usr/lib/crontab, но команды из этих полей выполняются с ID
пользователя с именем, соответствующим имени этого файла. Формат полей
аналогичен.
Обычно с помощью утилиты cron запускаются программы, проверяющие
целостность системы: проверяются длинна и/или контрольные суммы
файлов, наличие в системе пользователей с UID = 0, и т.д. О всех
подозрительных явлениях пишется письмо root'у. При модификации файлов
cron пишется протокол в файл /usr/adm/cronlog.
В некоторых системах, например во FreeBSD существуют командные
файлы /etc/daily, /etc/weekly и /etc/monthly. /etc/daily запускается
cron'ом ежедневно в 2:00am и сравнивает информацию выдаваемую по
команде ls -laT для всех suid'ных файлов с информацией предыдущего
дня. Иными словами /etc/daily сравнивает /var/log/setuid.today и
/var/log/setuid.yesterday. О всех изменениях посылаются письмо
администратору. Так что, если вы изменили или добавили какой-нибудь
SUID'ный файл, не забудьте сделать соответствующие изменения в этих
двух файлах.
|
Как научится не оставлять за собой следов ? - 
