Solaris 系统log日志原理分析

作为攻击者当然要知道系统是如何纪录用户的活动的情况的原理的了，呵呵，不然ip被记下来都不知道！ 呵呵，其实一些人只会到/var/adm/目录里去删日志，那是很笨很笨的做法。 前段时间在www.unixaid.net结识了一个外地的系统管理员，谈了谈，深有心得所以我把这些写下来，呵呵。 unix系统的日志其实是非常复杂和强大的，特别是solaris系统，因为源码的不公开，所以被蒙上了一层神秘的面纱，我研究分析了一阵子得出的结论和大家分享，我的能力有限，还望大家多多指教。 负责日志记帐的有两个守护进程：klogd,syslogd，我着重讲这两个进程，当然还有进程记帐进程，就不多介绍了，呵呵，因为基本上所有的系统动作都会被这两个进程监视并纪录，大家如果要编写一些系统程序的话，也会用到syslog这个接口的，呵呵，klogd主要纪录一些系统内核的动作，对攻击者最受影响的是syslogd这个进程.它可以接收访问系统的日志信息并且根据/etc/syslog.conf配置文件中的指令处理 这些信息。因此，任何希望生成日志信息的程序都可向syslog接口呼叫来生成改信息。大部分内部系统工具如邮件和打印系统都是如此生成信息的，许多新增的程序如TCP_wra