維護系統當然要看日志信息了,尤其當監控系統安全信息時,更不可少。
位置:/var/adm ; /var/log;
/var區下有個目錄adm,在這個目錄下有messags,syslog,sulog,utmp等諸多日志文件,它們記錄著solaris系統產生的各種消息日志。
sulog中記載著普通用戶嘗試su成為其它用戶的紀錄。它的格式為: 發生時間 +/-(成功/失敗) pts號 當前用戶欲su成的用戶
adm/utmp,utmpx 這兩個文件是不具可讀性的,它們記錄著當前登錄在主機上的用戶,管理員可以用w,who等命令來看。
adm/wtmp,wtmps 這兩個文件相當於歷史紀錄,它們記錄著所有登錄過主機的用戶,時間,來源等內容, 這兩個文件也是不具可讀性的。可用last命令來看。
除了上述幾個文件外,在/var/log目錄下還有一個syslog文件,這個文件的內容一般是紀錄mail事件的,管理員應該經常檢查有沒有異常紀錄。
ps: solaris一個很少被用起但卻極為有用的功能---記賬。Solaris操作系統可以通過設置日志文件可以對每個用戶的每一條命令進行紀錄,這一功能默認是不開放的,為了打開它,需要執行/usr/lib/acct目錄下的accton文件,格式如下 /usr/lib/acct/accton /var/adm/pacct,在sun的手冊上,只有這一種用法,但這樣做的缺點是明顯的,大多數有經驗的入侵者一定不會放過/var/adm和 /var/log這兩個目錄的,如果它們看到有pacct這個東西,不刪才怪。針對這種情況其實有個很好的解決辦法,執行 /usr/lib/acct/accton 後面跟一個別的目錄和文件即可,如/usr/lib/acct/accton /yiming/log/commandlog,這樣入侵者不會在/var/adm/下看到pacct,入侵者也許會刪掉message,syslog等日志,但他並不知道實際上他所有的操作都被記錄在案,管理員事後只要把commandlog這個文件拷貝到/var/adm下,改為pacct ,同時執行讀取命令lastcomm,就一切盡在掌握啦。如lastcomm hack。
