Логи в Linux

Логи в Linux Как известно, любая ОС ведет логи, в которые записывает инфу о всех происходящих событиях. А если вы не хотите оставлять следы?..

Вы наверняка читали различные статьи, в которых рассказывалось о логах Win9x/NT/2K/XP. В этих статьях наверняка рассказывалось про CleanUP'ы и иже с ним. Настала пора поговорить и про Unix-Linux-системы. Итак, первый наш клиент в очереди логгеров — утилита history. Она выводит последние команды, набранные вами (болеее точно: последнюю тысячу команд). Если там будет содержаться, например, скачка/распаковка/применение эксплойта (или еще чего-нибудь вредоносного) либо подключение к rootshell'у, с которого был произведен взлом, то это достаточный компромат для того, чтобы дать вам срок в доме с небом в клеточку. Исправляем это. Количество запоминаемых команд содержится в переменной $HISTSIZE (чтобы посмотреть текущее значение — echo $HISTSIZE). А все команды записываются в $HOME/.bash_history (если оболочка bash, а это в большинстве случаев). Имя файла для записи команд содержится в переменной $HISTFILE. Здесь есть следующие решения:
1. Прописать в cron удаление .bash_history через каждые 20-30 секунд (читайте man cron);
2. После всяких темных делишек;) собственноручно удалить .bash_history;
3. Можно изменить содержание переменных $HISTFILE и $HISTSIZE.
Следующий — это демон syslogd. Заведует /var/log'ом и пишет в него логи системных событий. Но можно обмануть и его:
1. Можно подправить syslog.conf, чтобы он посылал все логи в /dev/null;
2. Можно просто удалить /var/log/*.* и все (т.к. демон syslogd не может создавать файлы);
3. Перед установкой своего Unix/Linux можно детально порыться в недрах инсталлируемых пакетов и просто отменить установку демона syslogd.
Идем дальше. Кто там у нас следующий? Это команды типа who, w, last, lastlog. Следователь может сопоставить провайдерские данные входов/выходов и сравнить их с данными who, w, last, lastlog. Что можно сделать? Выхода два:
1. Просто удалить эти команды. Они вам, вероятно, не пригодятся, если вы не держите сервер в сети;
2. Можно посмотреть командой whereis [command] исполняемые файлы и просто их модифицировать, чтобы они выполнялись неверно.
Далее смотрим на ваш доступ к Internet'у. Здесь конкретно ничего нельзя сказать, т.к. подобных программ очень много. Но хочется посоветовать следующее: основательно покопайтесь в конфигурационных файлах и проверьте, не ведет ли ваша звонилка каких-нибудь логов. Например, kppp все пишет в /var/log/messages (время входа, выхода и т.д.). Ну и на счет скриптов. Некоторые просто присваивают переменным Login/Password. Но лучше присваивать переменным запрос на ввод, чтобы самому все вводить.
Все. И пусть поговорка "пришел, увидел, наследил" вам не соответствует:).

X-Stranger
xstranger@tut.by
www.linux4u.narod.ru



Компьютерная газета. Статья была опубликована в номере 02 за 2002 год в рубрике soft :: linux

©1997-2024 Компьютерная газета