日志文件的安全性配置
root自己不小心或者是黑客入侵都可能会删除日志文件,因此我们可以通过隐藏属性设置日志文件为止可以增加数据但不能被删除。但是root密码被破解后,黑客照样会删除掉日志文件。
#chattr +a /var/log/message
#lsattr /var/log/message
去掉此属性时用命令 #chattr -a /var/log/message
因为这个 +a 的属性让该文件无法被删除与修改,所以,当我们进行日志文件轮替时,将会无法移动该日志文件的文件名。但是这个困扰其实是可以用logrotate的配置文件解决。
另外,很多人会用 vi 去编辑日志文件,但日志文件只要“被编辑过”就无法继续记录,所以不要用 :wq 退出。要解决这个问题,重启 syslog 即可,#/etc/init.d/syslog restart .
日志文件的服务器配置
若有100台linux,你也要一台一台去查阅日志文件吗?当然不,我们可以将某一部主机设置成“日志文件服务器”,用它记录所有的100台linux主机信息。
CentOS5.X 默认的 syslog 本身已经具有这个日志文件服务器的功能了,只是默认没有启动。
日志文件服务的默认端口是UDP的514.
服务器会启动监听的端口,客户端则将日志文件再传一份送到服务器去。服务器端和客户端的设置分别如下:
一、服务器端
#vim /etc/sysconfig/syslog
找到下面一行:
SYSLOGD_OPTIONS="-m 0"
改成下面的样子:
SYSLOGD_OPTIONS="-m 0 -r"
重启与查看:#/etc/init.d/syslog restart #netstat -lunp |grep syslog
二、客户端
假设日志文件系统服务器为192.168.1.100
#vim /etc/syslog.conf
*.* @192.168.1.100