adm/wtmp，wtmps

　　这两个文件相当于历史纪录，它们记录着所有登录过主机的用户，时间，来源等内容， 这两个文件也是不具可读性的。可用last命令来看，如下。support pts/13 11.22.33.44 Thu Apr 20 18：40 - 20：50 (02：10)
gogo pts/12 11.22.33.45 Thu Apr 20 1：53 - 17：21 (02：28)
root ftp secu.Unix.com Wed Apr 19 14：58 - 14：58 (00：00)管理员要注意那些发生在不正常时间或是来自可疑地点的登录纪录，如上面输出结果中的gogo用户，这个时间不太正常。

　　与上面utmp，utmpx一样，管理员也应该清楚：last只能给你一个大概的参考，不要完全相信last的结果。

　　除了上述几个文件外，在/var/log目录下还有一个syslog文件，这个文件的内容一般是纪录mail事件的，管理员应该经常检查有没有异常纪录。

　　最后来讲一讲Solaris一个很少被用起但却极为有用的功能---记账。Solaris操作系统可以通过设置日志文件可以对每个用户的每一条命令进行纪录，这一功能默认是不开放的，为了打开它，需要执行/usr/lib/acct目录下的accton文件，格式如下/usr/lib/acct/accton /var/adm/pacct，在sun的手册上，只有这一种用法，但这样做的缺点是明显的，大多数有经验的入侵者一定不会放过/var/adm和 /var/log这两个目录的，如果它们看到有pacct这个东西，不删才怪。针对这种情况其实有个很好的解决办法，执行/usr/lib/acct/accton 后面跟一个别的目录和文件即可，如/usr/lib/acct/accton /yiming/log/commandlog，这样入侵者不会在/var/adm/下看到pacct，入侵者也许会删掉message，syslog等日志，但他并不知道实际上他所有的操作都被记录在案，管理员事后只要把commandlog这个文件拷贝到/var/adm下，改为pacct ，同时执行读取命令lastcomm，就一切尽在掌握啦。如lastcomm hack，可得到下面的输出结果：sh S hack pts/7 0.05 secs Mon Jun 12 14：28
sh F hack pts/7 0.00 secs Mon Jun 12 14：39
ls hack pts/7 0.01 secs Mon Jun 12 14：39
ls hack pts/7 0.02 secs Mon Jun 12 14：39
ls hack pts/7 0.01 secs Mon Jun 12 14：38
df hack pts/7 0.03 secs Mon Jun 12 14：38
ftp hack pts/7 0.02 secs Mon Jun 12 14：37
ls hack pts/7 0.01 secs Mon Jun 12 14：37
vi hack pts/7 0.02 secs Mon Jun 12 14：37
who hack pts/7 0.02 secs Mon Jun 12 14：36我们从输出中可以了解用户hack所做的工作，是不是很爽？

　　其实网络安全，可以从一些小的点点滴滴的方面加以注意，使用得当，一样会起到较好的作用，管理员，从关注你的日志文件开始吧。

标签：