Unix的入侵追踪(3) I.在/etc/syslog.conf中加入一行: *.info /var/log/router.log II.生成文件日志文件: touch /var/log/router.log III.重起syslogd进程: kill -HUP `cat /var/run/syslogd.pid` 对于入侵者来说,在实施攻击的整个过程中不与目标机试图建立tcp连接是不太可能的,这里有许多入侵者主观和客观的原因, 而且在实施攻击中不留下日志也是相当困难的。如果我们花上足够的时间和精力,是可以从大量的日志中分析出我们希望的信息。 就入侵者的行为心理而言,他们在目标机上取得的权限越大,他们就越倾向于保守的方式来建立与目标机的连接 。仔细分析早期的日志,尤其是包含有扫描的部分,我们能有更大的收获。 日志审计只是作为入侵后的被动防御手段。主动的是加强自身的学习,及时升级或更新系统。做到有备无患才是最有效的防止入侵的方法。
