如何保護日誌伺服器安全
Web日誌記錄了web伺服器接收處理請求,以及其執行時的錯誤等各種原始資訊。通過對日誌進行統計、分析、綜合,就能有效地掌握伺服器的執行狀況,發現和排除錯誤、瞭解客戶訪問分佈等,方便管理員更好地加強伺服器的維護和管理,那麼你知道嗎?下面是小編整理的一些關於的相關資料,供你參考。
保護日誌伺服器安全的方法一、攻擊者清除日誌的常用伎倆
1、Web伺服器系統中的日誌
以Windows Server 2003平臺的Web伺服器為例,其日誌包括:安全日誌、系統日誌、應用程式日誌、WWW日誌、FTP日誌等。對於前面的三類日誌可以通過“開始→執行”輸入eventvwr.msc開啟事件檢視器進行檢視,WWW日誌和FTP日誌以log檔案的形式存放在硬碟中。
***1***。安全日誌檔案:C:\WINDOWS\system32\config\SecEvent.Evt
***2***。系統日誌檔案:C:\WINDOWS\system32\config\SysEvent.Evt
***3***。應用程式日誌檔案:C:\WINDOWS\system32\config\AppEvent.Evt
***4***.FTP日誌預設位置:C:\WINDOWS\system32\Logfiles\MSFTPSVC1
***5***.WWW日誌預設位置:C:\WINDOWS\system32\Logfiles\W3SVC1
2、非法清除日誌
上述這些日誌在伺服器正常執行的時候是不能被刪除的,FTP和WWW日誌的刪除可以先把這2個服務停止掉,然後再刪除日誌檔案,攻擊者一般不會這麼做的。系統和應用程式的日誌是由守護服務Event Log支援的,而它是沒有辦法停止的,因而是不能直接刪除日誌檔案的。攻擊者在拿下Web伺服器後,一般會採用工具進行日誌的清除,其使用的工具主要是CL和CleanIISLog。
***1***。利用CL徹底清除日誌
這個工具可以徹底清除IIS日誌、FTP日誌、計劃任務日誌、系統日誌、安全日誌等,使用的操作非常簡單。
在命令下輸入“cl -logfiles 127.0.0.1”就可以清除Web伺服器與Web和FTP和計劃任務相關的日誌。其原理就是先把FTP、WWW、Task Scheduler服務停止再刪除日誌,然後再啟動三個服務。
該工具還可以選擇性地清除相應的日誌,比如輸入“cl -eventlog All”就會清除Web伺服器中與系統相關的日誌。另外,此工具支援遠端清理,這是攻擊者經常採用的方法。首先他們通過命令“net use \\ip\ipc$ 密碼/user:使用者名稱”在本地和伺服器建立了管理員許可權的IPC管理連線,然後用“CL -LogFile IP”命令遠端清理服務日誌。
***2***。利用CleanIISLog選擇性地清理IIS日誌
比如攻擊者通過Web注入方式拿下伺服器,這樣他的入侵痕跡***IP地址***都留在了IIS日誌裡。他們利用該工具只把其在IIS日誌中的IP地址進行清除,這樣就不會讓對方管理員起疑心。
在命令中執行“CleanIISLog 。 IP”就可以清除IIS日誌中有關該IP的連線記錄同時保留其它IP記錄。如果管理做了防範,比如更改了IIS日誌的路徑,攻擊者在確定了日誌的路徑後,也可以通過該工具進行清除,其操作是,在命令列下執行“CleanIISLog IIS日誌路徑 IP地址”來清除指定IIS路徑的IP記錄。
保護日誌伺服器安全的方法二、打造日誌伺服器保護日誌
通過上面的演示可以看到,如果將伺服器的日誌儲存在本地是非常不安全的。而且,如果企業中的伺服器非常多的話,檢視日誌會非常麻煩。基於以上考慮,打造專門的日誌伺服器,即有利於伺服器日誌的備份又有利用於集中管理。
筆者的做法是,搭建一個FTP伺服器用來日誌的集中和備份,可以在伺服器中通過專門的工具或者計劃任務來實現日誌的自動上傳備份。這部分內容比較簡單,筆者就不演示了。其實不僅可以將伺服器日誌備份到專門的日誌伺服器上,日誌伺服器還可以實現網路裝置的日誌備份。
以路由器為例,首先在其上進行設定,指定記錄日誌的伺服器,最後通過FTP協議將日誌資料傳輸到FTP伺服器上。搭建FTP伺服器可以利用IIS的FTP或者Serv-u,但是筆者覺得IIS的FTP在許可權分配上不夠方便,而Serv-u有漏洞太多,因此推薦TYPSoft FTP。
1、架設日誌伺服器
TYPSoft FTP是綠色軟體,下載解壓後雙擊ftpserv.exe檔案,啟動typsoft fip主程式。啟動後,點選主介面選單中的“設定→使用者”,建立新賬戶log。接著在使用者介面中設定log賬號所對應的使用者密碼和日誌儲存的目錄,最後點選“儲存”按鈕使設定生效,這樣日誌伺服器就架好了。
2、日誌伺服器的指定
當搭建好日誌伺服器後,只需要到相應的網路設定中通過SYSLOG或LOG命令指定要儲存日誌的伺服器地址即可,同時加上設定好的賬戶名和密碼即可完成傳輸配置工作。下面筆者就以Cisco6509裝置上配置及指定日誌伺服器為例。
正常登入到裝置上然後在全域性配置模式下輸入logging 192.168.1.10,它的意思是在路由器上指定日誌伺服器地址為192.168.1.10。接著輸入logging trap,它的意思是設定日誌伺服器接收內容,並啟動日誌記錄。trap後面可以接引數0到7,不同級別對應不同的情況,可以根據實際情況進行選擇。如果直接使用logging trap進行記錄的話是記錄全部日誌。配置完畢後路由交換裝置可以傳送日誌資訊,這樣在第一時間就能發現問題並解決。日誌伺服器的IP地址,只要是能在路由交換裝置上ping通日誌伺服器的IP即可,不一定要侷限在同一網段內。因為FTP屬於TCP/IP協議,它是可以跨越網段的。
看過文章“
1.如何提升伺服器安全等級
2.如何防護網路伺服器安全
3.如何維護網路伺服器安全
4.伺服器如何防攻擊
5.Windows伺服器的基礎安全加固方法
6.入侵伺服器的基礎知識
7.伺服器怎麼防攻擊
8.怎麼利用伺服器的DHCP維護區域網安全
9.怎麼設定網件PR2000為公共熱點安全模式
10.伺服器物理安全
艾泰防火牆如何設定