iT邦幫忙

第 11 屆 iThome 鐵人賽

DAY 19
5
Security

那個夜裡的資安系列 第 20

那個夜裡的資安-19(log in tmp or run)

  • 分享至 

  • xImage
  •  

『一台是CentOS,一台是Kali Linux,輸入同樣的指令,但結果不一樣,資訊長,請問...什麼原因?』

「我要聽的懂你在問什麼,我就轉行去做算掛,誰知道你在問什麼啊...你這口氣,其實不像是在稱呼一位資訊長,像是影片裡常常出現的...服務員,加水! 這感覺很不好耶...」

『那可能是因為,妳在叫我時,都像是...服務員,倒垃圾...所以我的口氣好一點,只是要加水而已。』
「算了算了...我還是要問一下,為什麼你會想要在手機裝Kali Linux啊? 那不是很怪嗎?」

『怪? 那裡怪了? 那很方便的...』

「真的? 我不懂。」

『眼前的和妳說完後,再解釋給妳聽妳就啦,之前說那個systemd 取代了原來的run level,請問表示什麼?』

「表示...我想一下,表示systemd也有log相關的設定還是可以查?」

『反應這麼好...systemd的log 查詢是 輸入journalctl,什麼參數都不加的話,就是列出全部內容。然後,如果想要查單一unit狀態,就輸入journalctl --unit=httpd,這樣就可以看到 Apache從上次開機到現在的相關記錄。

我現在輸入systemctl restart httpd,然後妳看哦...

#/var/log/messages
Sep  7 19:17:10 CentOS systemd: Stopping The Apache HTTP Server...

#journalctl --unit=httpd
Mar 07 19:17:11 CentOS systemd[1]: Stopped The Apache HTTP Server.
Mar 07 19:17:11 CentOS systemd[1]: Starting The Apache HTTP Server...
Mar 07 19:17:11 CentOS httpd[3820]: [Sat Mar 07 19:17:11.192517 2019] [suexec:notice] [pid 3816] AH01232: suEXEC mechanism enabl

systemd 記錄和messages ,內容不太一樣吧。』

「對耶,它沒有再出賣你了...」

『是啊,謝謝妳哦。那另一個,就是登入和登出的記錄。

About CentOS Kali Linux
Location /var/log/secure /var/log/auth.log
Login Success Keyword Accepted password for
Login Failed Keyword Failed password for Failed password for
LogoutKeyword session closed for user session closed for user

Systemd的開機過程、一般的登入成功、失敗和登出,大概就是這樣。』

「如果是這樣,那Systemd的關機過程,也有囉?」

『有啊...我先講,不要再說什麼我挖洞給妳跳,我沒有那麼多時間挖洞,而且要跳也是我跳,怎麼會是妳呢?』

「你也進步了,會先打預防針,不錯哦,教我結果你自己先成長了耶,說吧。」

『要看到上一次的關機記錄,指令是journalctl -b -1 -e,journalctl 可以帶的參數很多,妳有需要就自己查systemd官方網站,但先看一下,這兩台的畫面...一台是CentOS,一台是Kali Linux,輸入同樣的指令,但結果不一樣,想一下,什麼原因?』

https://ithelp.ithome.com.tw/upload/images/20190925/20006132zwVVgmKr22.png

「真的耶...你沒有P圖吧?」

『小姐,這是Live 的畫面,我是要怎麼P?』

「因為它們是不同的作業系統? 等一下,讓我想想...我知道了,版本不一樣。」

『誰的版本不一樣?」

「板本龍馬的版本不一樣...有官方和野史版,我不知道啦,我知道你沒挖洞,但你沒挖洞不表示,我就能平穩的往前走啊。」

『是啊,下次再學Sandy講話...我就用對Sandy的方法對妳,哼......』

「哎呀,又不是故意的。好啦...我知道了,雖然是不同的作業系統,但都是systemd,你說過,就像apache,會因為安裝的方式不同,而有不同的設定位置或什麼什麼的,systemd也是一樣的吧? 對不對?」

『差不多,繼續吧,在/etc/systemd 這個資料夾裡,記得嗎? 有其它的檔案,其中,journald.conf,就是設定log檔的地方。

https://ithelp.ithome.com.tw/upload/images/20190925/200061324wRwbqwRee.png

第一個設定Storage,預設是auto。

auto的意思是,如果在/var/log,裡面沒有journal這個資料夾的話,它就把log放到/run/log/journal

資訊長,請問run這個資料夾,是幹嘛的地方?』

「去去去...你去買我的咖啡...我自己想一下...」

『嘿嘿,等妳想到,我再去買,我是那麼好打發的人嗎?』

「嗚...好像是,類似暫存的地方,重新開機後,裡面的內容都是新的,不保留...那照你那樣說,如果設定是auto,不就只能查到這一次,重開機之後的記錄,這一次之前的都沒有了?」

『是啊,所以,要查上一次關機,指令是對的,但沒有內容可以看。』

「那怎辦?」

『有兩個常見的方法,一個是,手動去建立資料夾。另一個是改參數,Storage這個參數,

#Storage=auto
Storage=persistent

這個參數改了之後,系統會自己建立 /var/log/journal這個資料夾,並自動配置相關權限。』

https://ithelp.ithome.com.tw/upload/images/20190925/20006132BSS960Xyrw.png

「那我知道了,你去買咖啡吧,我來改參數。」

『為什麼不是我改參數,妳去買咖啡?』

「因為...我是你的這一站,下一站和終點站啊...買杯咖啡,可以嗎?」

(待)

2019/09/25 SunAllen


上一篇
那個夜裡的資安-18(Log)
下一篇
那個夜裡的資安-20(Linux Streams)
系列文
那個夜裡的資安35
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言