linux服务器安全应急 linux服务器安全与配置实验报告

Linux系统被入侵后如何使用lsof命令恢复被删除日志

Linux系统是服务器最常见的操作系统 ,当然也面临着非常多的安全事件,相较Windows操作系统,Linux采用了明确的访问权限控制和全面的管理工具,具有非常高的安全性和稳定性。Linux系统被入侵后,攻击者为了掩盖踪迹,经常会清除系统中的各种日志,包括Web的access和error日志、last日志、message日志、secure日志等,给我们后期应急响应和取证分析带来了非常大的阻力。所以,恢复被清除的日志是非常重要的取证和分析环节,一下是使用lsof命令恢复日志文件的案例,适用于常见的日志恢复工作。

我们提供的服务有:成都网站设计、成都网站制作、微信公众号开发、网站优化、网站认证、兴安ssl等。为上1000家企事业单位解决了网站和推广的问题。提供周到的售前咨询和贴心的售后服务,是有科学管理、有技术的兴安网站制作公司

不能关闭服务器,不能关闭相关服务或进程,如恢复apache的访问日志 /var/log/httpd/access_log ,不能关闭或者重启服务器系统,也不能重启httpd服务。

二、实施过程

1. 找到相关进程pid

[root@localhost ~]# lsof | grep access_log

httpd 1392 root 7w REG 253,0 0 263802 /var/log/httpd/access_log

httpd 7330 apache 7w REG 253,0 0 263802 /var/log/httpd/access_log

httpd 7331 apache 7w REG 253,0 0 263802 /var/log/httpd/access_log

httpd 7333 apache 7w REG 253,0 0 263802 /var/log/httpd/access_log

httpd 7334 apache 7w REG 253,0 0 263802 /var/log/httpd/access_log

httpd 7336 apache 7w REG 253,0 0 263802 /var/log/httpd/access_log

httpd 7337 apache 7w REG 253,0 0 263802 /var/log/httpd/access_log

2. 找回日志

代码如下:

[root@localhost ~]# wc -l /proc/1392/fd/7

55 /proc/1392/fd/7

[root@localhost ~]# cat /proc/1392/fd/7 /var/log/httpd/access_log

我们先通过wc或者tail命令查看日志信息,然后再将日志重写到access_log中即可。

在Linux系统的/proc 分区下保存着进程的目录和名字,包含fd(文件描述符)和其下的子目录(进程打开文件的链接),那么如果删除了一个文件,还存在一个 inode的引用:/proc/进程号/fd/文件描述符。我们只要知道当前打开文件的进程pid和文件描述符fd就能利用lsof工具列出进程打开的文件。通过lsof我们就可以进行简单的文件恢复工作,当然这里不局限于日志文件,只要是存在引用的文件。

linux分几种模式?linux 单用户模式作用是什么?和其他那几个模式都做什么用的?

0:关机

1:单用户模式

2:无网络支持的多用户模式

3:有网络支持的多用户模式

4:保留,未使用

5:有网络支持有X-Window支持的多用户模式

6:重新引导系统,即重启

Linux 系统处于正常状态时,服务器主机开机(或重新启动)后,能够由系统引导器程序自动引导 Linux 系统启动到多用户模式,并提供正常的网络服务。如果系统管理员需要进行系统维护或系统出现启动异常时,就需要进入单用户模式或修复模式对系统进行管理了。使用单用户模式有一个前提,就是您的系统引导器(grub)能正常工作,否则要进行系统维护就要使用修复模式。特注:进入单用户模式,没有开启网络服务,不支持远程连接

Linux 系统中不同的运行级别(Run Level)代表了系统的不同运行状态,例如 Linux 服务器正常运行时处于运行级别3,是能够提供网络服务的多用户模式;而运行级别 1 只允许管理员通过服务器主机的单一控制台进行操作,即“单用户模式”。

linux系统能做什么?

1.1 什么是Linux?

我们平时使用电脑打游戏、处理日常工作时,接触到最多的就是Windows操作系统,电脑如果不安装Windows系统是无法进行娱乐和工作的,所有的软件程序都必须运行在操作系统之上,但我们大众百姓常用的操作系统是个人版的,熟称桌面版系统。

和Windows一样,Linux也是一个操作系统软件,只不过它是企业级服务器操作系统(运营于企业服务器平台和手机移动端),Linux系统以安全、稳定、免费、高效、可自由更改源代码著称,这几个优秀的特点使得Linux系统大受欢迎,未来也会越来越火!

1.2 Linux系统发展前景如何?

众所周知,全球互联网及移动互联网仍在在高速发展,特别是物联网也开始发展,所有的公司要想生存都必须和互联网接轨(也要利用网络提供服务和赚钱),这样就使得整个互联网的发展与日俱增。

而Linux系统以安全、稳定、免费、高效、可自由更改源代码的特点占据了,1-2线城市98%以上的互联网企业以及移动互联网企业的系统应用。例如:百度、腾讯、阿里巴巴、淘宝网、京东商城、小米网、58同城、Sina、网易、滴滴打车、摩拜单车等都在大量使用Linux操作系统,国外的企业更是对Linux情有独钟,谷歌、Facebook、亚马逊等,毫不夸张地说,只要你能随口说出来想到的公司后台几乎都在使用Linux系统(包括Windows的厂商微软公司也在亲近Linux系统),我们使用的手机、平板等大多都在使用Linux系统(安卓版),苹果系列产品也都是类Linux系统(Unix),可见Linux系统的应用之广,可以预见未来至少是10年,Linux将是服务器端最火、应用最广的操作系统,没有之一,中国国家也在大力扶持Linux系统,例如江苏3000所中小学开始普及Linux系统。

为什么老男孩老师会对Linux的未来火爆程度这么肯定呢?这是因为Linux诞生的基因决定的:

Linux系统遵循GPL协议,即保证任何人有共享和修改自由Linux的自由,任何人有权取得、修改和重新发布Linux系统的源代码权利,但都必须同时给出具体更改的源代码,这个许可让全球的人都愿意为Linux贡献力量而不被某些人和机构据为己有,你说能不火么。

1.3 什么是Linux运维?

用一句话概括就是维护Linux系统以及系统之上的相关软件服务、程序代码(Java、Php、Python)和企业核心数据正常运行,使得企业能够优质、高效、快速的为企业的客户提供服务,从而盈利赚钱,随着企业增长,服务器和服务数量、要求也会成倍增加,对运维的能力和运维人员的数量都有更多的要求。在整个企业业务系统运转过程中,涉及到系统、网络、数据库、存储、开发、安全、监控、架构等综合的技术于一身的技术,对运维人员的能力提出了更高的要求。

1.4企业为什么会需要Linux运维?

举个例子,大家使用淘宝、京东购物,使用百度、谷歌搜索,看起来网站界面很简单,实际上网站背后都是由数千到上万台、甚至10万台服务器来完成的,这也是企业为什么需要运维工程师的原因。

随着互联网和移动互联网的高速发展,企业用户数量曾几何级数增长(多达数百万计、千万计,微信和QQ的用户有近10亿),企业的应用及网站规模、数据量也越来越大,需要的服务器也越来越多,软件和程序架构也越来越复杂,例如:BAT中每家企业的服务器数量可能多达数万台到10万台,这么多的服务器、软件运行、网站架构、程序代码、数据安全维护都需要工程师维护,并且需求会越来越多。

1.5Linux运维岗位分类?

□硬件运维:硬件维护,如服务器、交换机、路由器、存储、负载均衡等设备。

□网络运维:网络设备维护:交换机、路由器以及办公局域网的维护。

□系统运维:基础设施的维护,侧重于系统和应用,也会涉及硬件网络。

□应用运维(SRE):企业业务研发环境、测试环境、线上环境等的维护和故障处理。

□监控运维:整个业务系统所有服务器集群的业务的监控和报警。

□数据库运维: 负责数据存储方案设计、数据库表设计、索引设计和SQL优化

□安全运维:安全扫描、渗透测试,安全工具、安全事件应急处理等。

□运维开发:开发运维工具和运维平台,以及自动化、智能化运维。

运维工程师还包括一些低端的岗位,例如:网络管理员、监控运维、IDC运维,值班运维,这些岗位是没前途的岗位,需要尽快提高改进。

摘自《老男孩Linux运维》书籍


网站栏目:linux服务器安全应急 linux服务器安全与配置实验报告
本文链接:http://azwzsj.com/article/ddjgiho.html