Linux系統(tǒng)中Logcheck的安裝和配置

spallation

概述
　　 確保系統(tǒng)安全的一項(xiàng)很重要的工作就是定期查看日志文檔。系統(tǒng)管理員一般比較忙，沒(méi)有時(shí)間定期完成這項(xiàng)工作，這樣就可能帶來(lái)一些安全問(wèn)題。
    審核和記錄系統(tǒng)的事件是很重要的。特別是當(dāng)您的電腦連接到Internet上之后，系統(tǒng)管理員假如對(duì)“異常”的事件保持警覺(jué)，就能防止系統(tǒng)被入侵。在Unix系統(tǒng)中假如僅僅把系統(tǒng)事件作為日志記錄下來(lái)，而不去查看，還是無(wú)濟(jì)于事。Logchek能夠自動(dòng)地檢查日志文檔，先把正常的日志信息剔除掉，把一些有問(wèn)題的日志保留下來(lái)，然后把這些信息email給系統(tǒng)管理員。Logcheck被設(shè)計(jì)成自動(dòng)運(yùn)行，定期檢查日志文檔以發(fā)現(xiàn)違反安全規(guī)則連同異常的活動(dòng)。Logcheck用logtail程式記住上次已讀過(guò)的日志文檔的位置，然后從這個(gè)位置開(kāi)始處理新的日志信息。
注意事項(xiàng)
　　下面任何的命令都是Unix兼容的命令。
    源路徑都為“/var/tmp”（當(dāng)然在實(shí)際情況中也能夠用其他路徑）。
    安裝在RedHat Linux 6.1和6.2下測(cè)試通過(guò)。
    要用“root”用戶(hù)進(jìn)行安裝。
    Logcheck的版本是1.1.1。
    軟件包的來(lái)源Logcheck的主頁(yè)：
http://www.psionic.com/abacus/logcheck/
。
    下載：logcheck-1.1.1.tar.gz。
安裝軟件包需要注意的問(wèn)題
　　 最好在編譯前和編譯后都做一張系統(tǒng)中任何文檔的列表，然后用“diff”命令去比較他們，找出其中的差別并知道到底把軟件安裝在哪里。只要簡(jiǎn)單地在編譯之前運(yùn)行一下命令“find /* >Logcheck1”，在編譯和安裝完軟件之后運(yùn)行命令“find /* > Logcheck2”，最后用命令“diff Logcheck1 Logcheck2 > Logcheck-Installed”找出變化。
解壓軟件包
　　 把軟件包（tar.gz）解壓：
[root@deep /]# cp logcheck-version.tar.gz /var/tmp/
　　 [root@deep /]# cd /var/tmp
　　 [root@deep tmp]# tar xzpf logcheck-version.tar.gz
編譯和優(yōu)化
　　 必須修改“Makefile”文檔，配置Logcheck的安裝路徑、編譯標(biāo)記，還要根據(jù)您的系統(tǒng)進(jìn)行優(yōu)化。必須根據(jù)RedHat的文檔系統(tǒng)結(jié)構(gòu)來(lái)修改“Makefile”文檔，并且在“PATH”環(huán)境變量的設(shè)定的路徑中安裝Logcheck的腳本文檔。
第一步
轉(zhuǎn)到Logcheck所在的目錄。
編輯“Makefile”文檔（vi Makefile）并改變下面這些行：
CC = cc
改為：
CC = egcs
CFLAGS = -O
改為：
CFLAGS = -O9 -funroll-loops -ffast-math -malign-double -mcpu=pentiumpro -march=pentiumpro -fomit-frame-pointer -fno-exceptions
INSTALLDIR = /usr/local/etc
改為：
INSTALLDIR = /etc/logcheck
INSTALLDIR_BIN = /usr/local/bin
改為：
INSTALLDIR_BIN = /usr/bin
INSTALLDIR_SH = /usr/local/etc
改為：
INSTALLDIR_SH = /usr/bin
TMPDIR = /usr/local/etc/tmp
改為：
TMPDIR = /etc/logcheck/tmp
上面這些修改是為了把“Makefile”配置為使用“egcs”編譯器，使用適應(yīng)于我們系統(tǒng)的編譯優(yōu)化標(biāo)記，并且把Logcheck的安裝目錄配置成遵循RedHat的文檔系統(tǒng)結(jié)構(gòu)。
第二步
編輯“Makefile”文檔（vi +67 Makefile）改變下面這些行：
@if [ ! -d $(TMPDIR) ]; then /bin/mkdir $(TMPDIR); fi
改為：
@if [ ! -d $(TMPDIR) ]; then /bin/mkdir -p $(TMPDIR); fi
加上“-p”參數(shù)是讓安裝程式根據(jù)需要自動(dòng)創(chuàng)建目錄。
第三步
安裝Logcheck：
[root@deep logcheck-1.1.1]# make linux
上面的命令為L(zhǎng)inux操作系統(tǒng)配置Logcheck，然后把源文檔編譯成二進(jìn)制文檔，最后把二進(jìn)制文檔和配置文檔拷貝到相應(yīng)的目錄。
清除不必要的文檔，用下面的命令刪除不必要的文檔：
[root@deep /]# cd /var/tmp
[root@deep tmp]# rm -rf logcheck-version/ logcheck-version_tar.gz
“rm”命令刪除任何編譯和安裝Logcheck所需要的源程式，并且把Logcheck軟件的壓縮包刪除掉。
配置“/usr/bin/logcheck.sh”文檔
因?yàn)槲覀儾皇褂谩?usr/local/etc”這個(gè)路徑，所以必須改變“l(fā)ogcheck.hacking”、“l(fā)ogcheck.violations”、“l(fā)ogcheck.ignore”、“l(fā)ogcheck.violations.ignore”和“l(fā)ogtail”中任何的路徑到要改變。Logcheck的腳本文檔“/usr/bin/logcheck.sh”允許配置一些選項(xiàng)，能夠改變路徑和程式的運(yùn)行。這些都有周詳?shù)淖⑨專(zhuān)�也很�?jiǎn)單。
第一步
編輯“l(fā)ogcheck.sh”文檔（vi /usr/bin/logcheck.sh）并且改變：
LOGTAIL=/usr/local/bin/logtail
改為：
LOGTAIL=/usr/bin/logtail
TMPDIR=/usr/local/etc/tmp
改為：
TMPDIR=/etc/logcheck/tmp
HACKING_FILE=/usr/local/etc/logcheck.hacking
改為：
HACKING_FILE=/etc/logcheck/logcheck.hacking
VIOLATIONS_FILE=/usr/local/etc/logcheck.violations
改為：
VIOLATIONS_FILE=/etc/logcheck/logcheck.violations
VIOLATIONS_IGNORE_FILE=/usr/local/etc/logcheck.violations.ignore
改為：
VIOLATIONS_IGNORE_FILE=/etc/logcheck/logcheck.violations.ignore
IGNORE_FILE=/usr/local/etc/logcheck.ignore
改為：
IGNORE_FILE=/etc/logcheck/logcheck.ignore
第二步
把Logcheck放到crontab中，使之成為cronjob：
安裝完Logcheck之后，必須以“root”權(quán)限編輯本地的“crontab”文檔，并把Logcheck配置成每小時(shí)運(yùn)行一次（當(dāng)然您也能夠把時(shí)間設(shè)長(zhǎng)一點(diǎn)或設(shè)短一點(diǎn)）。
l 用下面的命令編輯crontab：
[root@deep /]# crontab -e
# Hourly check Log files for security violations and unusual activity.
　　 00 * * * * /usr/bin/logcheck.sh
注意：假如沒(méi)有必要的話，Logcheck是不會(huì)用email報(bào)告任何東西的。
安裝到系統(tǒng)中的文檔
　　 > /etc/logcheck
　　 > /usr/bin/logcheck.sh
　　 > /etc/logcheck/tmp
　　 > /etc/logcheck/logcheck.hacking
　　 > /etc/logcheck/logcheck.violations
　　 > /etc/logcheck/logcheck.violations.ignore
　　 > /etc/logcheck/logcheck.ignore
　　 > /usr/bin/logtail
　　 > /var/log/messages.offset
　　 > /var/log/secure.offset
　　 > /var/log/maillog.offset
版權(quán)說(shuō)明
　　 這篇文章翻譯和改編自Gerhard Mourani的《Securing and Optimizing Linux: RedHat Edition》，原文及其版權(quán)協(xié)議請(qǐng)參考：www.openna.com。


本文來(lái)自ChinaUnix博客，如果查看原文請(qǐng)點(diǎn)：http://blog.chinaunix.net/u/14504/showart_2045524.html