我看了很多日志,看起来它们中的一些更适合于监控黑客的攻击。 我发现的是:
-auth.log -mail.log: if i'm running a mail server, will this be important? -btmp -secure -faillog -apache2/access.log -mysql.log & mysql.err 注意:我正在运行LAMP并使用phpMyAdmin来访问数据库。
那个列表中有什么是无用的吗? 任何我应该包括的东西?
另外,我无法打开这些没有“.log”扩展名的日志文件。 我想我应该执行它们,但即使用户没有执行权限,当我chmod 700,没有任何反应,当我执行它们。 我该怎么做呢?
提前致谢
除此之外,这还不足以保护您的系统。 使用IPS(如SELinux)和HIDS(如助手,samhain或tripwire)将有更多的帮助。
如果你的PHP应用程序有SQL注入的问题,你需要检查你的代码 – 因为这些措施也没有帮助。
每个日志放入的内容由/etc/rsyslog.conf确定(对于debian压缩 – 如果使用不同的syslog守护进程,则不同)。
auth.log通常会显示密码破解企图,我监视ssh尝试。 apache2 / error.log会给你http错误。
mail.log很重要 – 我们使用sendmail / dovecot和sasl,sasl和dovecot在这里显示。
我会build议看看包fail2ban。 如果你为你的发行版安装它,它应该有一些已经调整到你已经调整的设置。 它会查找login失败和错误,可以configuration为通过电子邮件发送黑客攻击以及自动阻止违规的IP地址和端口。