[讨论]linux下连接的时间限制以及日志分析
信息来源:邪恶八进制信息安全团队([url]www.eviloctal.com[/url])议题作者:zendf
这几天在一个肉机上碰到了一些很疑惑的问题,写出来大家共同探讨,如果哪位大牛正好有解决的方案,请指教一二,不胜感谢.
1 在肉机上做了ssh后门,也能连上得到一个root shell,问题是每次连接三到五分钟就会中断,然后/var/log/secure日志上会记录fail xxx time out xxxxxxx 意思好象是超时然后中断连接,有点象开了个telnet服务,连接上,如果一定时间内没有操作,服务器会中断连接,可是我现在的情况是一直在进行操作,也会被中断,而且还被写入日志,这很要命的.
问题a :这种情况的中断连接是否是可以设置的,在什么地方设置,应该不是在ssh,或者telnet的配置文件中设置的.
问题b:怎么样让secure日志不记录time out,有这样的办法么
2 linux下的日志一般都记录在/var/log下,有boot.log,secure,message,mail,等等一般来说只要清除与自己相关的日志行就行了,问题是如果删除了相应的日志文件,比如message,系统并不会马上生成一个新的message文件出来,就是重建一个message文件,它也不会再记录相应的信息,一定要重启后,系统才会生成一个新的能记录相应日志的message文件,那么除了重启,有没有办法让系统生成这样的一个日志文件呢? 1、很多情况下这种是硬件防火墙因素。
2、:>/var/log/messages ,这个文件是可以编辑的,你可以用sed这样的流编辑器删除与你相关的日志 [quote]引用第1楼Helvin于2007-11-17 04:22发表的 :
1、很多情况下这种是硬件防火墙因素。
2、:>/var/log/messages ,这个文件是可以编辑的,你可以用sed这样的流编辑器删除与你相关的日志[/quote]
当时手头没clean工具,本来可以慢慢改的,可是因为1,就几分钟的时间,只能把日志全删除了,这下好了,没日志了。。。。。。如果1的原因真的硬防火墙的话,那SSH后门还真没什么用,只能log密码之类的了,另外。。。重启机器总比没日志来说更安全点吧对一般管理员来说。。。。HOHO,看来这台肉机不能长久。。。。
页:
[1]