作者:backend
出处:Lance Spitzner
主页:http://www.nsfocus.com/
日期:1999-12-14
过滤
日志具有无可替代的价值,但不幸的是它们经常被忽略,因为系统管理员在并不充裕的时间里难以查看大量的
信息。标准的日志功能不能自动过滤和检查日志记录,并提供系统管理员所需要的信息。下面我将简述如何过滤并
得到所需要的信息,然后介绍一个日志工具。
本文的第一部份将讲述如何制定过滤计划和所需要的信息,第二部份是日志过滤的实现。本文介绍的日志工具
是Todd Atkins开发的swatch。
开始
首先应该制定计划。制定日志计划的步骤有三步:第一步详细说明你需要知道什么,确定要从系统日志中得到
什么信息;第二步是确定哪些日志包含有这些信息;第三步是制定可以得到这些信息的触发器。
例如,假设你非常关心sendmail的安全,特别想知道是否有人试图使用你的邮件服务器作垃圾邮件转发。另外
你还想知道是否有人试图通过SMTP命令(如expn、vrfy)未经授权获取相关信息。这些就是我们第一步所要确定的
内容。
第二步是选择信息源,或包含有所城信息的日志文件。可以通过系统日志配置文件/etc/syslog.conf了解所需
信息被记录到哪里。例如,以下是电子邮件日志存放位置的配置:
homer#cat /etc/syslog.conf | grep mail
mail.debug ifdef(`LOGHOST', /var/log/syslog, @loghost)
最后一步就是定义触发器,即指定所需要记录的日志信息。在这里我们需要的是两个针对sendmail的触发器。
1、试图将邮件服务器作为邮件转发器非授权IP地址。
2、试图使用已经被关闭的命令(如expn)的用户/或IP地址。
要确定触发器的定义正确与否,可模拟触发事件,并用/usr/bin/tail -f命令监视日志文件。对于第一个触
发器(非授权IP地址试图使用邮件服务器作邮件转发),可从一个非授权IP地址尝试使用邮件服务器作邮件转发,
同时通过/usr/bin/tail -f命令查看日志记录。
Oct 3 14:48:51 homer sendmail[6704]: OAA06704:
ruleset=check_rcpt,arg1=bsmith@domain.com, relay=foo@moo.com
[206.54.252.1],reject=550 bsmith@domain.com... Relaying denied
我们可以看到在moo.com上有人在试图通过我们的邮件服务器转发邮件,这很可能是垃圾邮件的信号。这就是
一个非授权邮件转发的日志记录触发器。请注意信息中还包含有IP地址和域名。
现在,测试一下第二个触发器(非授权使用expn命令)。登录到SMTP端口并执行expn命令,同时通过
/usr/log/tail -f /var/log/syslog命令查看日志记录。
Oct 2 20:28:37 homer sendmail[5453]: NOQUEUE: foo@moo.com[206.54.252.1]: expn bsmith [rejected]
我们可以看到在moo.com上有人试图查询用户名bsmith。在使用expn命令时将激活这个触发器。请注意信息中
还包含有IP地址和域名。
上面我们简述了制定日志过滤的三个步骤。首先是确定需要什么信息:非授权使用邮件服务器作邮件转发和
非授权使用expn命令。然后是确定包含这些信息的日志:/var/log/syslog。最后,通过模拟事件验证日志触发
器。现在是我们建立自动化过滤器的时候了。
SWATCH
SWATCH (The Simple WATCHer and filer) 是Todd Atkins开发的用于实时监视日志的PERL程序。Swatch利
用指定的触发器监视日志记录,当日志记录符合触发器条件时,swatch会按预先定义好的方式通知系统管理员。
在本文的例子中,我们需要swatch在有人攻击sendmail时报警。
Swatch非常容易安装。它是一个PERL程序,无需编译。Swatch有一个很有用的安装脚本,将所有的库文件、
手册页和PERL文件复制到相应目录下。安装完成后,只要创建一个配置文件,就可以运行程序了。Swatch的下载
网址:ftp://ftp.stanford.edu/general/security-tools/swatch
配置文件swatchrc是swatch软件的重点。这个文本文件告诉swatch需要监视什么日志,需要寻找什么触发器,
和当触发时所要执行的动作。当swatch发现到与swatchrc中定义的触发器正则表达式相符时,它将执行在swatchrc
中定义的通知程序。Swatch通过使用/usr/bin/tail -f实时监视日志文件。
现在让我们为在上面提到的sendmail日志创建一个swatchrc文件。目的是当有人试图攻击我们的邮件服务器时
sendmail将通过电子邮件通知我们。swatchrc文件的内容格式如下。它包含了四个用制表符分隔的字段,前面两个
字段是必须的,而后面两个字段是可选的。
第一个字段的格式是:
/pattern/pattern/
其中的"pattern"代表一个swatch将要进行搜索匹配的正则表达式,也就是我们的触发器。
第二个字段的格式是:
Action,action...
其中的"action"是当表达式匹配时所要执行的动作。Swatch允许指定包括email、呼叫或任何指定的执行文件。
第三个字段(可选)的格式是:
HH:MM:SS
HH是小时数,MM是分钟数,SS是秒数。这个时间间隔是设置swatch忽略同一匹配表达式的最大时间。例如,如
果你定义时间间隔为5分钟,swatch在这个时间间隔内对同一匹配表达式将只报告一次,即使该表达式可能已匹配了
20次。
第四个字段(如果使用了第三个字段,则此字段是必需的)是一个时间标签,格式为start:length。它定义了
在通知消息中时间标签的位置和长度。
在这个sendmail实例中,我们将要为上面的两个触发器创建含有相应匹配表达式的swatchrc文件。我们希望只
要其中有一个表达式匹配,系统将向abuse@ourcompany.com发送包含匹配记录的通知电子邮件。然而,我们也要避
免被过多的警告信息所淹没。例如,如果攻击者试图在一分钟内转发1000封电子邮件,可能产生大量的通知消息。
因此,我们决定设置时间间隔为5分钟。这样,不管在5分钟内有多少次匹配同一个表达式,都只会发送一封通知邮
件。下面就是我们最终创建的swatchrc文件内容:
/Relaying denied|expn/ echo=normal,mail=abuse@ourcompany.net 5:00 0:16
第一个字段内容为"/Relaying denied|expn/"。如果swatch发现匹配了其中的任何表达式,它将发送一个警告
信息。第一个表达式"Relaying denied"对应于我们上面提到的第一个触发器,此时的日志将记录有人正试图进行
非授权邮件转发。第二个表达式"expn"则对应于第二个触发器,此时的日志将记录有人正试图执行expn命令。这两
个触发器的具体情况请回顾本文的第一部份。
第二个字段内容为"echo=nomal,mail=abuse@company.com",
表示将发送包含匹配日志记录的电子邮件到abuse@ourcompany.com。
第三和第四个字段(可选字段)内容为"5:00 0:16",表示在5分钟内不会重复同一个警告消息,并定义了时间
标签的位置和长度。
现在我们已正确配置了swatchrc文件,最后一个步骤就是启动swatch进程。Swatch启动时可以带很多参数,但
使用通常如下格式启动它就可以了:
/usr/local/bin/swatch -c /var/log/syslogrc -t /var/log/syslog &
-c参数用于指定配置文件,-t参数指定实时监视的日志文件,"&"使swatch在后台运行。启动后,swatch产生
子进程,因此swatch是以两个进程运行的,在停止swatch时必须杀掉两个进程。现在,sendmail的日志记录将被自
动进行过滤,任何时间只要有人想利用你的sendmail系统,你接收到包含了匹配日志记录的电子邮件。
总结
日志是很强大的工具,然而它的大量数据也很容易淹没我们。如果我们没有足够的时间去检查数以兆计的数据
时,很可能会忽略那些有用的资料。日志自动化过滤系统可以帮助我们解决这个问题。这些自动化过滤系统将我们
所需要的信息实时地通知我们。希望本文能对如何定制你自己的日志文件自动过滤器有一定的帮助。