Файлы протоколов
работы (log-files).
UNIX хранит системные
протоколы в следующих файлах:
/var/log/utmp (/etc/utmp)
— запись о вашем текущем
присутствии в cистеме. Используется
программой who.
/var/log/wtmp (/usr/adm/wtmp)
— протокол всех вхождений в систему. Используется
программой last.
/var/log/lastlog (/usr/adm/lastlog)
— Дата последнего входа в систему каждого
пользователя. Выдается на экран программой login.
Это не текстовые
файлы и отредактировать их в vi
руками не получится. Для того, чтобы
стереть информацию о своём присутствии, надо
использовать специальную программу,
написанную для этих целей.
Пример такой программы
приведён в приложении 7.
Часто информация о входах
пользователей и о некоторых их действиях
(например запуск su) выдается на консоль
администратору и в системный лог, который
может называться /var/log/messages. Для модификации
этого файла можно воспользоваться редактором ed
или vi.
Программа CRON.
Cron — программа,
которая запускает другие задачи с
некоторой периодичностью. Описание этих задач и
времени их запуска хранятся в файлах в
двух директориях: /usr/lib и /usr/spool/cron.
Файл crontab в
директории /etc или /usr/lib описывает
системные задачи, которые надо запускать с
определённой периодичностью. Формат этого
файла:
минуты часы день_месяца
месяц_года день_недели коммандная_строка
[0-59] [0-23] [1-31] [1-12] [1-7] [путь, аргументы]
Пример строки из
crontab:
0 1 * * * /bin/sync
Это значит, что надо запускать
команду sync, содержащуюся в директории /bin в
час ночи каждый день. Команды выполняемые из
/usr/lib/crontab получают привилегии root (UID =
0).
В каталоге
/usr/spool/crontabs, содержатся файлы имеющих
имена системных account’ов. Эти файлы содержат поля,
сходные с содержащимися в файле /usr/lib/crontab, но
команды из этих полей выполняются с ID
пользователя с именем, соответствующим имени
этого файла. Формат полей аналогичен.
Обычно с помощью
утилиты cron запускаются программы,
проверяющие целостность системы:
проверяются длинна и/или
контрольные суммы файлов, наличие
в системе пользователей с UID = 0, и
т.д. О всех подозрительных явлениях пишется
письмо root’у. При модификации файлов cron
пишется протокол в файл /usr/adm/cronlog.
В некоторых системах,
например во FreeBSD существуют командные
файлы /etc/daily, /etc/weekly и /etc/monthly. /etc/daily
запускается cron’ом ежедневно в 2:00am
и сравнивает информацию выдаваемую по
команде ls -laT для всех suid’ных файлов с
информацией предыдущего дня.
Иными словами /etc/daily
сравнивает /var/log/setuid.today и
/var/log/setuid.yesterday. О всех
изменениях посылаются письмо
администратору. Так что, если вы изменили или
добавили какой-нибудь SUID’ный файл, не
забудьте сделать соответствующие
изменения в этих двух файлах.
