Как научится не
оставлять за собой следов ? |
Автор: Shaman
Файлы
протоколов работы (log-files). UNIX хранит системные
протоколы в следующих файлах:
/var/log/utmp (/etc/utmp)
- запись о вашем текущем присутствии в cистеме. Используется
программой who.
/var/log/wtmp (/usr/adm/wtmp) -
протокол всех вхождений в систему. Используется программой
last.
/var/log/lastlog (/usr/adm/lastlog) - Дата
последнего входа в систему каждого пользователя. Выдается на экран
программой login.Это не текстовые файлы и отредактировать их в vi
руками не получится. Для того, чтобы стереть информацию о своём
присутствии, надо использовать специальную программу, написанную для
этих целей. Часто информация о входах пользователей и о некоторых их
действиях (например запуск su) выдается на консоль администратору и
в системный лог, который может называться /var/log/messages.
Для модификации этого файла можно воспользоваться редактором ed или
vi.
Программа CRON. Cron - программа,
которая запускает другие задачи с некоторой периодичностью. Описание
этих задач и времени их запуска хранятся в файлах в двух
директориях: /usr/lib и /usr/spool/cron. Файл
crontab в директории /etc или /usr/lib описывает
системные задачи, которые надо запускать с определённой
периодичностью.
Формат этого файла: минуты часы
день_месяца месяц_года день_недели коммандная_строка [0-59]
[0-23] [1-31] [1-12] [1-7] [путь, аргументы]
Пример строки
из crontab: 0 1 * * * /bin/sync
Это значит, что надо
запускать команду sync, содержащуюся в директории /bin
в час ночи каждый день. Команды выполняемые из /usr/lib/crontab
получают привилегии root (UID = 0). >В каталоге
/usr/spool/crontabs, содержатся файлы имеющих имена системных
account'ов. Эти файлы содержат поля, сходные с содержащимися в файле
/usr/lib/crontab, но команды из этих полей выполняются с ID
пользователя с именем, соответствующим имени этого файла. Формат
полей аналогичен.
Обычно с помощью утилиты cron запускаются
программы, проверяющие целостность системы: проверяются длинна и/или
контрольные суммы файлов, наличие в системе пользователей с UID = 0,
и т.д. О всех подозрительных явлениях пишется письмо root'у. При
модификации файлов cron пишется протокол в файл
/usr/adm/cronlog.
В некоторых системах, например во
FreeBSD существуют командные файлы /etc/daily, /etc/weekly и
/etc/monthly. /etc/daily запускается cron'ом ежедневно в 2:00am
и сравнивает информацию выдаваемую по команде ls -laT для всех
suid'ных файлов с информацией предыдущего дня.
Иными словами
/etc/daily сравнивает /var/log/setuid.today и
/var/log/setuid.yesterday. О всех изменениях посылаются письмо
администратору. Так что, если вы изменили или добавили какой-нибудь
SUID'ный файл, не забудьте сделать соответствующие изменения в этих
двух файлах.
P.S Пиплы на самом деле в этом нет
ничего сложного, даже при моём маленьком знании Linux(я всего то
прочитал пару книг, пару десятков статей, помощь, факи, мануалы) я
смог в этом разобраться и написать статью. Не бойтесь
экспериментировать, изучайте и вскоре вам не понадобится помощь
окружающих, вы сами сможете настраивать и поделывать систему под
себя, обходить ловушки и хитрости. Учите учите и ещё раз учите :) .
|