Tips
为什么登录档还要防止被自己
(root)
不小心所修改过呢?
鸟哥在½
Linux
的课程时,
我的学生常常会举手说:『老师,我的登录文件不能记录信息了!糟糕!是不是被入侵了啊?』
怪怪!明明是计算
机½室的主机,使用的是
Private IP
而且学校计中还有抵挡机制,不可能被攻击吧?
查询了才知道原来同学很喜
欢使用『
:wq
』来离开
vim
的环境,但是
rsyslogd
的登录档只要『被编辑过』就无法继续记录!
所以才会导致
不能记录的问题。此时你得要
(1)
改变使用
vim
的习惯;
(2)
重新启动
rsyslog.service
让他再继续提供服务才行喔!
既然如此,那么我们就来处理一下隐藏属性的东东吧!我们在
第六章
谈到过
lsattr
与
chattr
这两个东
西啦!如果½一个文件以
chattr
设定
i
这个属性时,那么该文件连
root
都不能杀掉!而且也不能
新增数据,嗯!真安全!但是,如此一来登录文件的功能岂不是也就消失了?
因为没有办法写入呀!
所以啰,
我们要使用的是
a
这个属性
!你的登录文件如果设定了这个属性的话,那么
他½只能被增
加,而不能被删除
!嗯!
这个项目就非常的符合我们登录档的需求啦!因此,你可以这样的增加你
的登录文件的隐藏属性。
Tips
请注意,底下的这个
chattr
的设定状态:『½适合已经对
Linux
系统很有概念的朋友』
来设定,
对于新手来说,½议你直½使用系统的默认值就好了,免得到最后登录档无法写入~
那就比½糗一点!
@_@
[root@study ~]#
chattr +a /var/log/admin.log
[root@study ~]#
lsattr /var/log/admin.log
-----
a
----------
/var/log/admin.log
加入了这个属性之后,你的
/var/log/admin.log
登录档从此就½能被增加,而不能被删除,直到
root
以
『
chattr -a /var/log/admin.log
』取消这个
a
的参数之后,才能被删除或移动喔!
虽然,为了你登录文件的信息安全,这个
chattr
的
+a
旗标可以帮助你维护好这个文件,
不过,如
果你的系统已经被取得
root
的权限,而既然
root
可以下达
chattr -a
来取消这个旗标,
所以啰,还
是有风险的啦!此外,前面也稍微提到,新手最好还是先不要增加这个旗标,
很容易由于自己的忘
记,导致系统的重要讯息无法记录呢。
基本上,鸟哥认为,这个旗标最大的用处除了在保护你登录文件的数据外,
他还可以帮助你避免掉
不小心写入登录档的状况喔。要注意的是,当『
你不小心
"
手动
"
更动过登录档后,例如那个
/var/log/messages
,
你不小心用
vi
开启他,离开却下达
:wq
的参数,呵呵!那么该文件未来½不
会再继续½行登录动作!
』这个问题真的很常发生!由于你以
vi
储存了登录档,则
rsyslogd
会误
判为该文件已被更动过,
½导致
rsyslogd
不再写入该文件新的内容~很伤脑½的!
