请选择 进入手机版 | 继续访问电脑版


服务器如何保护日志安全

5263
回复
814900
查看
    [复制链接]

 成长值: 4583

等级头衔

头衔 版主

Rank: 85Rank: 85Rank: 85

积分成就
UID
99
威望
296
贡献
309
在线时间
9 小时
注册时间
2014-2-25

置顶 发表于 2023-8-2 08:27:07 | 显示全部楼层 |阅读模式
常用工具
常用工具: web服务器接收处理请求
服务器Web日志记录了web服务器接收处理请求,以及其运行时的错误等各种原始信息。通过对日志进行统计、分析、综合,就能有效地掌握服务器的运行状况,发现和排除错误、了解客户访问分布等,方便管理员更好地加强服务器的维护和管理,那么你知道如何保护日志服务器安全吗?下面是整理的一些关于如何保护日志服务器安全的相关资料。
u=3679182831,2778994766&fm=253&fmt=auto&app=138&f=JPEG.webp.jpg

保护日志服务器安全的方法一、攻击者清除日志的常用伎俩
1、Web服务器系统中的日志
以Windows Server 2003平台的Web服务器为例,其日志包括:安全日志、系统日志、应用程序日志、WWW日志、FTP日志等。对于前面的三类日志可以通过“开始→运行”输入eventvwr.msc打开事件查看器进行查看,WWW日志和FTP日志以log文件的形式存放在硬盘中。
(1)。安全日志文件:C:\WINDOWS\system32\config\SecEvent.Evt
(2)。系统日志文件:C:\WINDOWS\system32\config\SysEvent.Evt
(3)。应用程序日志文件:C:\WINDOWS\system32\config\AppEvent.Evt
(4).FTP日志默认位置:C:\WINDOWS\system32\Logfiles\MSFTPSVC1
(5).WWW日志默认位置:C:\WINDOWS\system32\Logfiles\W3SVC1
2、非法清除日志
上述这些日志在服务器正常运行的时候是不能被删除的,FTP和WWW日志的删除可以先把这2个服务停止掉,然后再删除日志文件,攻击者一般不会这么做的。系统和应用程序的日志是由守护服务Event Log支持的,而它是没有办法停止的,因而是不能直接删除日志文件的。攻击者在拿下Web服务器后,一般会采用工具进行日志的清除,其使用的工具主要是CL和CleanIISLog。
(1)。利用CL彻底清除日志
这个工具可以彻底清除IIS日志、FTP日志、计划任务日志、系统日志、安全日志等,使用的操作非常简单。在命令下输入“cl -logfiles 127.0.0.1”就可以清除Web服务器与Web和FTP和计划任务相关的日志。其原理就是先把FTP、WWW、Task Scheduler服务停止再删除日志,然后再启动三个服务。
该工具还可以选择性地清除相应的日志,比如输入“cl -eventlog All”就会清除Web服务器中与系统相关的日志。另外,此工具支持远程清理,这是攻击者经常采用的方法。首先他们通过命令“net use \\ip\ipc$ 密码/user:用户名”在本地和服务器建立了管理员权限的IPC管理连接,然后用“CL -LogFile IP”命令远程清理服务日志。
(2)。利用CleanIISLog选择性地清理IIS日志
比如攻击者通过Web注入方式拿下服务器,这样他的入侵痕迹(IP地址)都留在了IIS日志里。他们利用该工具只把其在IIS日志中的IP地址进行清除,这样就不会让对方管理员起疑心。
在命令中执行“CleanIISLog 。 IP”就可以清除IIS日志中有关该IP的连接记录同时保留其它IP记录。如果管理做了防范,比如更改了IIS日志的路径,攻击者在确定了日志的路径后,也可以通过该工具进行清除,其操作是,在命令行下执行“CleanIISLog IIS日志路径 IP地址”来清除指定IIS路径的IP记录。
保护日志服务器安全的方法二、打造日志服务器保护日志
通过上面的演示可以看到,如果将服务器的日志保存在本地是非常不安全的。而且,如果企业中的服务器非常多的话,查看日志会非常麻烦。基于以上考虑,打造专门的日志服务器,即有利于服务器日志的备份又有利用于集中管理。
搭建一个FTP服务器用来日志的集中和备份,可以在服务器中通过专门的工具或者计划任务来实现日志的自动上传备份。这部分内容比较简单,笔者就不演示了。其实不仅可以将服务器日志备份到专门的日志服务器上,日志服务器还可以实现网络设备的日志备份。
以路由器为例,首先在其上进行设置,指定记录日志的服务器,最后通过FTP协议将日志数据传输到FTP服务器上。搭建FTP服务器可以利用IIS的FTP或者Serv-u,但是笔者觉得IIS的FTP在权限分配上不够方便,而Serv-u有漏洞太多,因此推荐TYPSoft FTP。
1、架设日志服务器
TYPSoft FTP是绿色软件,解压后双击ftpserv.exe文件,启动typsoft fip主程序。启动后,点击主界面菜单中的“设定→用户”,建立新账户log。接着在用户界面中设置log账号所对应的用户密码和日志保存的目录,最后点击“保存”按钮使设置生效,这样日志服务器就架好了。
2、日志服务器的指定
当搭建好日志服务器后,只需要到相应的网络设置中通过SYSLOG或LOG命令指定要保存日志的服务器地址即可,同时加上设置好的账户名和密码即可完成传输配置工作。下面笔者就以Cisco6509设备上配置及指定日志服务器为例。
正常登录到设备上然后在全局配置模式下输入logging 192.168.1.10,它的意思是在路由器上指定日志服务器地址为192.168.1.10。接着输入logging trap,它的意思是设置日志服务器接收内容,并启动日志记录。trap后面可以接参数0到7,不同级别对应不同的情况,可以根据实际情况进行选择。如果直接使用logging trap进行记录的话是记录全部日志。配置完毕后路由交换设备可以发送日志信息,这样在第一时间就能发现问题并解决。日志服务器的IP地址,只要是能在路由交换设备上ping通日志服务器的IP即可,不一定要局限在同一网段内。因为FTP属于TCP/IP协议,它是可以跨越网段的。
欢迎加入学客联盟
等级头衔

头衔 中级会员

Rank: 25Rank: 25Rank: 25Rank: 25Rank: 25

积分成就
UID
5248270
威望
59
贡献
59
在线时间
0 小时
注册时间
2022-4-11

发表于 2023-8-2 08:27:09 | 显示全部楼层
更新更新了
欢迎加入学客联盟
回复 支持 反对

使用道具 举报

等级头衔

头衔 中级会员

Rank: 25Rank: 25Rank: 25Rank: 25Rank: 25

积分成就
UID
5094862
威望
53
贡献
53
在线时间
0 小时
注册时间
2022-3-26

发表于 2023-8-2 08:27:16 | 显示全部楼层
感谢感谢
欢迎加入学客联盟
回复 支持 反对

使用道具 举报

等级头衔

头衔 中级会员

Rank: 25Rank: 25Rank: 25Rank: 25Rank: 25

积分成就
UID
4976860
威望
53
贡献
53
在线时间
0 小时
注册时间
2022-3-12

发表于 2023-8-2 08:27:23 | 显示全部楼层
路过看看,默默留下脚印
欢迎加入学客联盟
回复 支持 反对

使用道具 举报

等级头衔

头衔 中级会员

Rank: 25Rank: 25Rank: 25Rank: 25Rank: 25

积分成就
UID
4119021
威望
50
贡献
50
在线时间
0 小时
注册时间
2021-11-18

发表于 2023-8-2 08:27:23 | 显示全部楼层
挺好的,网站很漂亮,我学习到技术了
欢迎加入学客联盟
回复 支持 反对

使用道具 举报

等级头衔

头衔 中级会员

Rank: 25Rank: 25Rank: 25Rank: 25Rank: 25

积分成就
UID
3666027
威望
47
贡献
47
在线时间
0 小时
注册时间
2018-12-30

发表于 2023-8-2 08:27:30 | 显示全部楼层
永远的神啊
欢迎加入学客联盟
回复 支持 反对

使用道具 举报

等级头衔

头衔 中级会员

Rank: 25Rank: 25Rank: 25Rank: 25Rank: 25

积分成就
UID
4824148
威望
46
贡献
46
在线时间
0 小时
注册时间
2022-2-18

发表于 2023-8-2 08:27:30 | 显示全部楼层
只从来了这里,不想走了
欢迎加入学客联盟
回复 支持 反对

使用道具 举报

等级头衔

头衔 中级会员

Rank: 25Rank: 25Rank: 25Rank: 25Rank: 25

积分成就
UID
4751016
威望
50
贡献
50
在线时间
0 小时
注册时间
2022-2-8

发表于 2023-8-2 08:27:37 | 显示全部楼层
非常好啊,界面非常好看。
欢迎加入学客联盟
回复 支持 反对

使用道具 举报

等级头衔

头衔 中级会员

Rank: 25Rank: 25Rank: 25Rank: 25Rank: 25

积分成就
UID
5504796
威望
60
贡献
60
在线时间
0 小时
注册时间
2022-5-2

发表于 2023-8-2 08:27:44 | 显示全部楼层
学盟终于更新了,我也来评论一下。
欢迎加入学客联盟
回复 支持 反对

使用道具 举报

等级头衔

头衔 中级会员

Rank: 25Rank: 25Rank: 25Rank: 25Rank: 25

积分成就
UID
3830116
威望
49
贡献
49
在线时间
0 小时
注册时间
2019-5-29

发表于 2023-8-2 08:27:51 | 显示全部楼层
走过路过千万不要错过
欢迎加入学客联盟
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

电脑技术交流学习
132-3591-5703
周一至周五 9:00-18:00
意见反馈:admin@cnxklm.com

扫一扫访问手机版

Powered by NST! X3.4© 2001-2021技术支持( 闽ICP备14006427号 闽公网安备35090202000370号)|意见建议