分享時間到了,和大家一起分享一下經驗。
不論是本地追作還是網路入侵追蹤這兩種形式,都沒有電子郵件追蹤這項內容。實際上因為電子郵件的滯後性,在突發入侵情況發生的前提下難以受到實事資訊,在這裡列出這種網路追蹤方法僅供參考。
以上就是syslog各項紀錄程度以及紀錄方式的寫法,各位讀者可以依照自己的需求記錄下自己所需要的內容。但是這些紀錄都是一直堆上去的,除非您將檔案自行刪掉,否則這些檔案就會越來越大。有的人可能會在syslogd.conf裡寫:*.*/var/log/everything,要是這樣的話,當然所有的情況都被你記錄下來了。但是如果真的系統出事了,你可能要從好幾十MB甚至幾百MB的文字中找出到底是哪邊出問題,這樣可能對你一點幫助都沒有。因此,以下兩點可以幫助你快速找到重要的紀錄內容:
電子郵件追蹤之定期檢查紀錄
養成每週(或是更短的時間,如果你有空的話)看一次紀錄檔的習慣。如果有需要將舊的紀錄檔備份,可以cploglog.1,cploglog.2...或是cploglog.971013,cploglog.980101...等,將過期的紀錄檔依照流水號或是日期存起來,未來考察時也比較容易。
電子郵件追蹤之只記錄有用的東西
千萬不要像前面的例子一樣,記錄下*.*。然後放在一個檔案中。這樣的結果會導檔案太大,要找資料時根本無法馬上找出來。有人在記錄網路通訊時,連誰去ping他的主機都記錄。除非是系統已經遭到很大的威脅,沒事就有人喜歡嘗試進入你的系統,否則這種雞毛蒜皮的小事可以不用記錄。可以提升些許系統效率以及降低硬碟使用量(當然也節省你的時間)。地理位置的追蹤如何查出入侵者的地理位置?光看IP地址可能看不出來,但是你常看的話,會發現也會發現規律的。在固接式的網路環境中,入侵者一定和網路提供單位有著密切的關係。因為假設是區域網路,那麼距離絕對不出幾公里。就算是撥接好了,也很少人會花大筆錢去撥外縣市甚至國外的撥接伺服器。因此,只要查出線的單位,入侵者必然離連線單位不遠。
撥接式的網路就比較令人頭疼了。有許多ISP為了吸引客戶,弄了很多什麼網路卡。User這邊只要買了固定的小時數,不需須另外向ISP那邊提出申請,就可以按照卡片上的說明自行撥接上網。這樣當然可以吸引客戶,但是ISP就根本無從得知是誰在用他們的網路。也就是說,雖然以網路卡提供撥接服務給撥接使用者帶來相當大的便利,但卻是系統安全的大敵,網路管理員的惡夢。如果入侵你的人是使用網路卡來上網,那……,要從撥號的地點查嗎?入侵者可以不要用自己家裡的電話上網。
小龍只瞭解這麼多,如果有更好的方法或技巧,請留言。