淺析Linux系統帳戶的管理和審計

　 1、登入帳戶管理

　　在Linux下登入使用者帳戶的管理是通過utmp和wtmp這兩個工具來實現的。wtmp還記錄系統重啟和系統狀態變化的有關資訊。所有與utmp和wtmp相關的資料都分別被儲存在/var/run/utmp和/var/log/wtmp這兩個檔案中。這兩個檔案均歸屬於root使用者所有並且存取權限被設定為644，這些檔案中的資料是加密過的。可以用dump-utmp這個工具將原始的資料轉換為ASCII的資料，便於系統管理員分析使用者的登入以及系統重啟和系統狀態變化的有關資訊。

　　登入帳戶管理的相關命令

　　last 命令提供了每個使用者登入和退出的時間，同時還有系統重新啟動以及運行狀態改變的資訊。預設情況下，last分析/var/log/wtmp檔案並顯示每個串連和運行狀態改變的資訊。Last輸出的資訊可能太多而讓查看的人無法應付，典型的用法是last –5，表示查看/var/log/wtmp中的最新5條記錄的內容。

　　who 命令的主要用處是報告系統中當前登入進來的使用者資訊。Who命令提供了如下的資訊：使用者登入進入使用的系統終端裝置、使用者的地址、使用的主機名稱、X顯示的視窗（假如使用了X Windows系統）、使用者是否接受其他使用者的訊息和交談請求等。

　　ac 命令提供了有關使用者串連的大概統計，我們可以使用帶有標誌 d 和 p 的 ac 命令。標誌 d 顯示了一天的總串連統計，標誌 p 顯示了每一個使用者的連線時間。這種統計資訊的方式對瞭解與探測入侵有關的使用者情況及其他活動很有協助。

　　lastlog 命令讀取/var/log/lastlog檔案併產生使用者最後一次登入資訊的報告lastlog命令也用於在Linux系統中檢查不尋常的登入記錄。

　　2、系統帳戶的審計

　　Linux作業系統可以通過設定記錄檔可以對每個使用者的每一條命令進行紀錄，不過這一功能預設是沒有開啟的。

　　開啟這個功能的過程：

　　# touch /var/log/pacct
　　# action /var/log/pact

　　也可以用自已的檔案來代替/var/log/pacct這個檔案。但必須路徑和檔案名稱的正確。

　　sa命令與 ac 命令一樣，sa 是一個統計命令。該命令可以獲得每個使用者或每個命令的進程使用的大致情況，並且提供了系統資源的消費資訊。在很大程度上，sa 又是一個記帳命令，對於識別特殊使用者，特別是已知特殊使用者使用的可疑命令十分有用。另外，由於資訊量很大,需要處理指令碼或程式篩選這些資訊。

　　lastcomm命令, 與 sa 命令不同，lastcomm 命令提供每一個命令的輸出結果，同時列印出與執行每個命令有關的時間印戳。就這一點而說，lastcomm 比 sa 更有安全性。如果系統被入侵，請不要相信在 lastlog、utmp、wtm中記錄的資訊，但也不要忽略，因為這些資訊可能被修改過了。另外有可能有人替換了who程式來掩人耳目。通常，在已經識別某些可疑活動後，處理序計量可以有效發揮作用。使用 lastcomm 可以隔絕使用者活動或在特定時間執行命令。

　　3、使用logrorate對審計檔案管理

　　/var/log/utmp，/var/log/wtmp和/var/log/pacct檔案都是動態資料檔案。wtmp和pacct檔案是在檔案尾部不斷地增加記錄。在繁忙的網路上，這些檔案會變得很大。Linux提供了一個叫logrotate的程式，它允許管理員對這些檔案進行管理。

　　Logrotate讀取/etc/logrotate.d目錄下的檔案。管理員通過該目錄下的指令檔，控制logrotate程式的運作。一個典型的指令檔如下：

　　{

　　rotate 5

　　weekly

　　errors root@serve1r

　　mail root@server1

　　copytruncate

　　compress

　　size 100k

　　}

　　指令檔的含義如下：

　　● rotate 5——保留該檔案一份當前的備份和5份舊的備份。
　　● weekly——每周處理檔案一次，通常是一周的第一天。
　　● errors——向郵件地址發送錯誤報表。
　　● mail——向郵件地址發送相關的資訊。
　　● copytruncate——允許進程持續地記錄，備份檔案建立後，把活動的記錄檔清空。
　　● compress——使用gzip工具對舊的記錄檔進行壓縮。
　　● size 100k——當檔案超過100k 時自動處理。