1、捕获authpriv消息:
描述:启用日志,可以记录,查询攻击行为)
# vi etc/syslog.conf //注意linux centos 6.5不存在syslog.conf这个文件,被改为rsyslog.conf
authpriv.* /var/log/secure //在文件里空白处写入上述内容
#service syslogd restart //重启syslogd服务,linux centos6之后改为:service rsyslog restart
2、日志存储
描述:日志存储在日志服务器中,可以防止攻击者删除日志,也可以使日志长时间保存。
#vi /etc/sysconfig/syslog //centos 6版本将syslog文件改为rsyslog
SYSLOGD_OPTIONS="-m 0" 修改成:SYSLOGD_OPTIONS="-r -m 0" //“-r”表示启用记录远程主机的日志
#vi /etc/rsyslog.conf
*.* @192.168.0.1 //将本机的日志记录到192.168.0.1这台服务器上
#service rsyslog restart //重启日志服务
3、日志系统配置文件保护
描述:日志文件的保护,可以防止攻击者对日志配置文件的访问
#chmod 400 /etc/syslog.conf //修改日志配置文件只有管理员可读
#chmod 644 /etc/syslog.conf //无风险。回退措施
原文:http://2841314881.blog.51cto.com/10852398/1714900