學(xué)習(xí)啦 > 學(xué)習(xí)電腦 > 網(wǎng)絡(luò)知識(shí) > 網(wǎng)絡(luò)基礎(chǔ)知識(shí) > 如何保護(hù)日志服務(wù)器安全

如何保護(hù)日志服務(wù)器安全

時(shí)間: 權(quán)威724 分享

如何保護(hù)日志服務(wù)器安全

  Web日志記錄了web服務(wù)器接收處理請求,以及其運(yùn)行時(shí)的錯(cuò)誤等各種原始信息。通過對日志進(jìn)行統(tǒng)計(jì)、分析、綜合,就能有效地掌握服務(wù)器的運(yùn)行狀況,發(fā)現(xiàn)和排除錯(cuò)誤、了解客戶訪問分布等,方便管理員更好地加強(qiáng)服務(wù)器的維護(hù)和管理,那么你知道如何保護(hù)日志服務(wù)器安全嗎?下面是學(xué)習(xí)啦小編整理的一些關(guān)于如何保護(hù)日志服務(wù)器安全的相關(guān)資料,供你參考。

  保護(hù)日志服務(wù)器安全的方法一、攻擊者清除日志的常用伎倆

  1、Web服務(wù)器系統(tǒng)中的日志

  以Windows Server 2003平臺(tái)的Web服務(wù)器為例,其日志包括:安全日志、系統(tǒng)日志、應(yīng)用程序日志、WWW日志、FTP日志等。對于前面的三類日志可以通過“開始→運(yùn)行”輸入eventvwr.msc打開事件查看器進(jìn)行查看,WWW日志和FTP日志以log文件的形式存放在硬盤中。

  (1)。安全日志文件:C:\WINDOWS\system32\config\SecEvent.Evt

  (2)。系統(tǒng)日志文件:C:\WINDOWS\system32\config\SysEvent.Evt

  (3)。應(yīng)用程序日志文件:C:\WINDOWS\system32\config\AppEvent.Evt

  (4).FTP日志默認(rèn)位置:C:\WINDOWS\system32\Logfiles\MSFTPSVC1

  (5).WWW日志默認(rèn)位置:C:\WINDOWS\system32\Logfiles\W3SVC1

  2、非法清除日志

  上述這些日志在服務(wù)器正常運(yùn)行的時(shí)候是不能被刪除的,F(xiàn)TP和WWW日志的刪除可以先把這2個(gè)服務(wù)停止掉,然后再刪除日志文件,攻擊者一般不會(huì)這么做的。系統(tǒng)和應(yīng)用程序的日志是由守護(hù)服務(wù)Event Log支持的,而它是沒有辦法停止的,因而是不能直接刪除日志文件的。攻擊者在拿下Web服務(wù)器后,一般會(huì)采用工具進(jìn)行日志的清除,其使用的工具主要是CL和CleanIISLog。

  (1)。利用CL徹底清除日志

  這個(gè)工具可以徹底清除IIS日志、FTP日志、計(jì)劃任務(wù)日志、系統(tǒng)日志、安全日志等,使用的操作非常簡單。

  在命令下輸入“cl -logfiles 127.0.0.1”就可以清除Web服務(wù)器與Web和FTP和計(jì)劃任務(wù)相關(guān)的日志。其原理就是先把FTP、WWW、Task Scheduler服務(wù)停止再刪除日志,然后再啟動(dòng)三個(gè)服務(wù)。

  該工具還可以選擇性地清除相應(yīng)的日志,比如輸入“cl -eventlog All”就會(huì)清除Web服務(wù)器中與系統(tǒng)相關(guān)的日志。另外,此工具支持遠(yuǎn)程清理,這是攻擊者經(jīng)常采用的方法。首先他們通過命令“net use \ip\ipc$ 密碼/user:用戶名”在本地和服務(wù)器建立了管理員權(quán)限的IPC管理連接,然后用“CL -LogFile IP”命令遠(yuǎn)程清理服務(wù)日志。

  (2)。利用CleanIISLog選擇性地清理IIS日志

  比如攻擊者通過Web注入方式拿下服務(wù)器,這樣他的入侵痕跡(IP地址)都留在了IIS日志里。他們利用該工具只把其在IIS日志中的IP地址進(jìn)行清除,這樣就不會(huì)讓對方管理員起疑心。

  在命令中執(zhí)行“CleanIISLog 。 IP”就可以清除IIS日志中有關(guān)該IP的連接記錄同時(shí)保留其它IP記錄。如果管理做了防范,比如更改了IIS日志的路徑,攻擊者在確定了日志的路徑后,也可以通過該工具進(jìn)行清除,其操作是,在命令行下執(zhí)行“CleanIISLog IIS日志路徑 IP地址”來清除指定IIS路徑的IP記錄。

  保護(hù)日志服務(wù)器安全的方法二、打造日志服務(wù)器保護(hù)日志

  通過上面的演示可以看到,如果將服務(wù)器的日志保存在本地是非常不安全的。而且,如果企業(yè)中的服務(wù)器非常多的話,查看日志會(huì)非常麻煩?;谝陨峡紤],打造專門的日志服務(wù)器,即有利于服務(wù)器日志的備份又有利用于集中管理。

  筆者的做法是,搭建一個(gè)FTP服務(wù)器用來日志的集中和備份,可以在服務(wù)器中通過專門的工具或者計(jì)劃任務(wù)來實(shí)現(xiàn)日志的自動(dòng)上傳備份。這部分內(nèi)容比較簡單,筆者就不演示了。其實(shí)不僅可以將服務(wù)器日志備份到專門的日志服務(wù)器上,日志服務(wù)器還可以實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的日志備份。

  以路由器為例,首先在其上進(jìn)行設(shè)置,指定記錄日志的服務(wù)器,最后通過FTP協(xié)議將日志數(shù)據(jù)傳輸?shù)紽TP服務(wù)器上。搭建FTP服務(wù)器可以利用IIS的FTP或者Serv-u,但是筆者覺得IIS的FTP在權(quán)限分配上不夠方便,而Serv-u有漏洞太多,因此推薦TYPSoft FTP。

  1、架設(shè)日志服務(wù)器

  TYPSoft FTP是綠色軟件,下載解壓后雙擊ftpserv.exe文件,啟動(dòng)typsoft fip主程序。啟動(dòng)后,點(diǎn)擊主界面菜單中的“設(shè)定→用戶”,建立新賬戶log。接著在用戶界面中設(shè)置log賬號(hào)所對應(yīng)的用戶密碼和日志保存的目錄,最后點(diǎn)擊“保存”按鈕使設(shè)置生效,這樣日志服務(wù)器就架好了。

  2、日志服務(wù)器的指定

  當(dāng)搭建好日志服務(wù)器后,只需要到相應(yīng)的網(wǎng)絡(luò)設(shè)置中通過SYSLOG或LOG命令指定要保存日志的服務(wù)器地址即可,同時(shí)加上設(shè)置好的賬戶名和密碼即可完成傳輸配置工作。下面筆者就以Cisco6509設(shè)備上配置及指定日志服務(wù)器為例。

  正常登錄到設(shè)備上然后在全局配置模式下輸入logging 192.168.1.10,它的意思是在路由器上指定日志服務(wù)器地址為192.168.1.10。接著輸入logging trap,它的意思是設(shè)置日志服務(wù)器接收內(nèi)容,并啟動(dòng)日志記錄。trap后面可以接參數(shù)0到7,不同級(jí)別對應(yīng)不同的情況,可以根據(jù)實(shí)際情況進(jìn)行選擇。如果直接使用logging trap進(jìn)行記錄的話是記錄全部日志。配置完畢后路由交換設(shè)備可以發(fā)送日志信息,這樣在第一時(shí)間就能發(fā)現(xiàn)問題并解決。日志服務(wù)器的IP地址,只要是能在路由交換設(shè)備上ping通日志服務(wù)器的IP即可,不一定要局限在同一網(wǎng)段內(nèi)。因?yàn)镕TP屬于TCP/IP協(xié)議,它是可以跨越網(wǎng)段的。

  看過文章“如何保護(hù)日志服務(wù)器安全”的人還看了:

  1.如何提升服務(wù)器安全等級(jí)

  2.如何防護(hù)網(wǎng)絡(luò)服務(wù)器安全

  3.如何維護(hù)網(wǎng)絡(luò)服務(wù)器安全

  4.服務(wù)器如何防攻擊

  5.Windows服務(wù)器的基礎(chǔ)安全加固方法

  6.入侵服務(wù)器的基礎(chǔ)知識(shí)

  7.服務(wù)器怎么防攻擊

  8.怎么利用服務(wù)器的DHCP維護(hù)局域網(wǎng)安全

  9.怎么設(shè)置網(wǎng)件PR2000為公共熱點(diǎn)安全模式

  10.服務(wù)器物理安全

604009