Linux下的后门和日志工具

2、查找Linux下的蛛丝马迹：日志工具
对于高明的攻击者来说，进入系统后，还应了解自己的“蛛丝马迹”并清除这些痕迹，自然就要了解一些日志工具了。
（1）logcheck
logchek 可以自动地检查日志文件，定期检查日志文件以发现违反安全规则以及异常的活动。它先把正常的日志信息剔除掉，把一些有问题的日志保留下来，然后把这些信息 email 给系统管理员。logcheck 用 logtail 程序记住上次已经读过的日志文件的位置，然后从这个位置开始处理新的日志信息。logcheck 主要由下面几个主要的文件：
logcheck.sh 可执行的脚本文件，记录logcheck检查那些日志文件等，我们可以把它加入crontab中定时运行。
logcheck.hacking 是logcheck 检查的模式文件。和下面的文件一起，按从上到下的顺序执行。这个文件表明了入侵活动的模式。
logcheck.violations 这个文件表示有问题，违背常理的活动的模式。优先级小于上面的那个模式文件。
logcheck.violations.ignore 这个文件和上面的logcheck.violations的优先是相对的，是我们所不关心的问题的模式文件。
logcheck.ignore 这是检查的最后一个模式文件。如果没有和前三个模式文件匹配，也没有匹配这个模式文件的话，则输出到报告中。
Logtail 记录日志文件信息。
Logcheck首次运行时读入相关的日志文件的所有内容，Logtail会在日志文件的目录下为每个关心的日志文件建立一个logfile.offset 的偏移量文件，以便于下次检查时从这个偏移量开始检查。Logcheck执行时，将未被忽略的内容通过邮件的形式发送给 logcheck.sh 中 系统管理员指定的用户。
（2）logrotate
一般Linux 发行版中都自带这个工具。它可以自动使日志循环，删除保存最久的日志，它的配置文件是 /etc/logrotate.conf，我们可以在这个文件中设置日志的循环周期、日志的备份数目以及如何备份日志等等。在/etc/logrotate.d目录下，包括一些工具的日志循环设置文件，如syslog等，在这些文件中指定了如何根据/etc/logrotate.conf做日志循环，也可以在这里面添加其他的文件以循环其他服务的日志。
（3）swatch
swatch 是一个实时的日志监控工具，我们可以设置感兴趣的事件。Swatch 有两种运行方式：一种可以在检查日志完毕退出，另一种可以连续监视日志中的新信息。Swatch提供了许多通知方式，包括email、振铃、终端输出、多种颜色等等。安装前，必须确保系统支持perl。swatch 软件的重点是配置文件swatchmessage，这个文本文件告诉 swatch 需要监视什么日志，需要寻找什么触发器，和当触发时所要执行的动作。当swatch发现与swatchmessage中定义的触发器正则表达式相符时，它将执行在 swatchrc中定义的通知程序。
当然，上面所介绍的软件只是Linux大海中的几只美丽的贝壳，随着越来越多的用户加入到Linux大军中，我们相信，优秀的Hack也将越来越多，这反过来也将促进Linux操作系统逐步走向成熟，我们拭目以待。