充分利用Linux系统安全防护工具

　　Logcheck脚本是简单的SHELL程序，logtail.c程序只调用了标准的ANSI C函数。Logcheck要在cron守护进程中配置，至少要每小时运行一次。脚本用简单的grep命令来从日志文件检查不正常的活动，如果发现了就发送电子邮件给管理员。如果没有发现异常活动，就不会收到电子邮件。

　　logcheck工具的主页在http://logcheck.org/，用户可以在上面下载其最新版本： logcheck-1.1.1.tar.gz。下载后用tar xvfz logcheck-1.1.1.tar.gz命令解开到一临时目录下，然后用make linux自动生成相应的文件到/usr/local/etc、/usr/local/bin/等目录下。用户可能需要更改设置，如发送通知到谁的邮件账号等，默认发送到root。

　　利用logcheck工具分析所有logfile，避免每天经常手动地检查它们，节省了时间，提高了效率。

　　后门工具——rootkit

　　rootkit是一种比普通木马后门更为隐秘和危险的木马后门。它主要通过替换系统文件来达到目的，这样就会更加隐蔽，使检测变得比较困难。传统的rootkit主要针对Unix平台，例如Linux、AIX、SunOs 等操作系统，有些rootkit可以通过替换DLL文件或更改系统来攻击Windows平台。rootkit并不能让攻击者直接获得权限，相反它是在用户通过各种方法获得权限后才能使用的一种保护权限的措施，在攻击者获取系统根权限（根权限即root权限，是Unix系统的最高权限）以后，rootkit 提供了一套工具用来建立后门和隐藏行迹，从而让攻击者保住权限，在任何时候都可以使用root权限登录到系统。

　　rootkit主要有两种类型：文件级别和系统级别，下面分别加以简要介绍。

　　1．文件级rootkit

　　rootkit威力很大，可以轻而易举地在系统中建立后门。最一般的情况就是它们首先进入系统然后修改系统的重要文件来达到隐藏自己的目的。合法的文件被木马程序替代。通常情况下，合法的程序变成了外壳程序，而其内部就是隐藏着的后门程序。下面列出的程序就是经常被木马程序利用掩护自己的Linux rootkit：login、 ls、ps、 find、who、 netstat。