#yyds干货盘点# web安全day29：linux日志异地备份

#yyds干货盘点# web安全day29：linux日志异地备份

建立客户机

我们首先启动一台windowsxp虚拟机，并且接入同一网络内，vmnet8.它的具体网络配置如下。

在redhat中追踪日志信息。

tail -f /var/log/secure

在windowsxp中启动securecrt，连接redhat，但是输入了瞎猜的口123令。

得到了这条登录失败的日志信息。

如输入正确的456口令，则会登录成功，但是在日志中会留下痕迹。

但是作为普通用户是没有办法删除掉这些痕迹的。我们尝试进行删除。

echo "" > secureecho "" > message

作为root用户是可以清除这些痕迹的。

从这个实验中我们可以得到两个信息，第一是侵入者的入侵会留下痕迹，我们可以通过日志找到它的踪迹，第二是千万不要让别人得到你的root权限，否则它可以清除这些痕迹。

那有什么办法可以防止入侵者清除这些痕迹呢？

我们可以尝试建立独立日志服务器对这些敏感信息进行异地备份，

建立日志服务器之前，我们需要考虑以下几个问题：

作为发送方

第一，我们需要发送什么信息到日志服务器。

第二，发送到哪个ip地址，哪个端口，用tcp还是udp。

作为接收方

第一，我们收谁的日志

第二，收完了存哪里

第三，用什么协议

我们之前了解了日志的配置文件，在最后有一部分是转发规则，我们说它可以进行配置后，做日志的异地备份，接下来我们具体进行配置。

我们按照上图的拓扑进行环境的搭建，当前我们的环境是一台windowsxp作为登录客户机，其ip地址是192.168.189.105，一台虚拟机redhat作为被登录的服务器，其具有一块网卡ens33，其ip地址是192.168.189.100，它们都连接在vmnet8上。

配置linux客户机

我们需要给redhat再添加一块网卡ens38，并连接到vmnet2上，将其ip地址配置位192.168.1.1，再部署一台redhat作为日志服务器，连接到vmnet2上，将其ip地址配置为192.168.1.2。

vim ifcfg-ens38

TYPE="Ethernet"PROXY_METHOD="none"BROWSER_ONLY="no"BOOTPROTO="static"DEFROUTE="yes"IPV4_FAILURE_FATAL="no"IPV6INIT="yes"IPV6_AUTOCONF="yes"IPV6_DEFROUTE="yes"IPV6_FAILURE_FATAL="no"IPV6_ADDR_GEN_MODE="stable-privacy"NAME="ens38"UUID=""DEVICE="ens38"ONBOOT="yes"IPADDR=192.168.1.1NETMASK=255.255.255.0GATEWAY=192.168.1.2DNS1=192.168.1.2DNS2=8.8.8.8

vim etc/rsyslog.conf

# ### begin forwarding rule #### forwarding rules, duplicate the whole block!# Remote Logging (we use TCP for reliable delivery)## down, messages are spooled to disk and sent when it is up again.#$ActionQueueFileName fwdRule1 # unique name prefix for spool files#$ActionQueueMaxDiskSpace 1g # 1gb space limit (use as much as possible)#$ActionQueueSaveOnShutdown on # save messages to disk on shutdown#$ActionQueueType LinkedList # run asynchronously#$ActionResumeRetryCount -1 # infinite retries if host is down#*.* @@remote-host:514# ### end of the forwarding rule ###~

我们关注第11行，它提供了一个日志服务器发送的模板。第一个*表示的是服务名称，第二个*表示日志级别，@@表示TCP协议，remote-host表示远程服务器ip地址，514则是其端口号。           我们在其中加入以下一行

authpriv.* @@192.168.1.2:514

我们的目的是将我们的登录日志发送到日志服务器中。所以使用了authpriv服务。

关闭防火墙，并且关闭enforce服务。

[root@bogon ~]# setenforce 0[root@bogon ~]# getenforcePermissive

如果不将enforce服务关闭，会对文件进行加锁，导致文件无法发送出去。

重启服务。

service rsyslog restart

建立日志服务器

我们使用一台redhat作为服务器。以下是其网络配置。

服务器需要考虑的是收谁的日志，收完了存哪里，用什么协议。

打开rsyslog.conf文件。

主要关注modload imtcp和inputtcpserverrun 514.

表示了用什么协议收和用什么端口收。需要使其生效。

以下这行表示了收谁的日志和收完了向哪里存。

:fromhost-ip, isequal,"192.168.1.1" /var/log/client/192.168.1.1.log

修改完毕后重启服务。

systemctl restart rsyslog.service

检查服务进程

ss -antpl

发现本地端口514已经开启，说明已经监听成功。

然后我们进行验证，即在客户机上使用错误的口令进行登录，检查服务器上是否可以记录到。

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。