Linux认证指导：十大企业级Linux服务器安全的防护要点7

会计考友

追踪黑客踪迹：日志管理
4 _# L+ u( @# K3 T　　当用户仔细设定了各种与Linux相关的配置(最常用日志管理选项)，并且安装了必要的安全防护工具之后，Linux操作系统的安全性的确大为提高，但是却并不能保证防止那些比较熟练的网络黑客的入侵。
" d6 L1 S' C3 x  ~! [; s. {　　在平时，网络管理人员要经常提高警惕，随时注意各种可疑状况，并且按时检查各种系统日志文件，包括一般信息日志、网络连接日志、文件传输日志以及用户登录日志等。在检查这些日志时，要注意是否有不合常理的时间记载。例如：
　　正常用户在半夜三更登录；
: k7 O) i  W: Q( D8 v: H. P7 I　　不正常的日志记录，比如日志只记录了一半就切断了，或者整个日志文件被删除了；
& E) h, w3 r. Z0 r" M( e3 C5 O5 S　　用户从陌生的网址进入系统；
　　因密码错误或用户账号错误被摈弃在外的日志记录，尤其是那些一再连续尝试进入失败，但却有一定模式的试错法；
　　非法使用或不正当使用超级用户权限su的指令；
" K( v# s- G9 \, c" _3 e, Y( c9 U. W　　重新开机或重新启动各项服务的记录。
. p. R1 L7 J' g4 n  g( _: E　　上述这些问题都需要系统管理员随时留意系统登录的用户状况以及查看相应日志文件，许多背离正常行为的蛛丝马迹都应当引起高度注意。