Как не оставлять за собой следов

Файлы протоколов работы (log-files).

©©© UNIX хранит системные протоколы в следующих файлах:

/var/log/utmp (/etc/utmp)©
©© - запись о вашем© текущем© присутствии в cистеме.© Используется программой who.

/var/log/wtmp (/usr/adm/wtmp)
- протокол всех вхождений в систему. Используется программой last.

/var/log/lastlog (/usr/adm/lastlog)
- Дата последнего© входа в систему каждого пользователя. Выдается на экран программой login.

©©©

Это© не© текстовые© файлы© и© отредактировать© их© в vi© руками не получится.© Для© того,© чтобы стереть информацию о сво╠м© присутствии, надо© использовать© специальную программу, написанную для© этих целей. ©©©

Пример такой программы привед╠н в приложении 7. ©©©

Часто информация о входах пользователей и о некоторых их действиях (например запуск su) выдается на консоль администратору© и в системный лог, который может называться /var/log/messages. Для модификации этого файла можно воспользоваться редактором ed или vi.

Программа CRON.

©©© Cron - программа,© которая© запускает© другие© задачи© с некоторой периодичностью. Описание этих задач и времени© их© запуска© хранятся в файлах в двух директориях: /usr/lib и /usr/spool/cron.

©©© Файл crontab в директории /etc или© /usr/lib© описывает© системные задачи, которые надо запускать с© определ╠нной© периодичностью. Формат этого файла:

минуты часы день_месяца месяц_года день_недели коммандная_строка

[0-59] [0-23] [1-31]©©©©© [1-12]©©©© [1-7]©©©© [путь, аргументы]

©©© Пример строки из crontab:

0 1 * * *© /bin/sync

Это значит, что надо запускать команду sync, содержащуюся в директории /bin© в час© ночи каждый день. Команды выполняемые из /usr/lib/crontab получают привилегии root (UID = 0). ©©©

В© каталоге© /usr/spool/crontabs,© содержатся© файлы имеющих имена системных account'ов. Эти файлы содержат поля, сходные с содержащимися в© файле /usr/lib/crontab, но команды из этих© полей© выполняются с ID пользователя с именем, соответствующим имени этого файла. Формат полей аналогичен.

©©© Обычно с помощью утилиты cron© запускаются© программы, проверяющие целостность© системы:© проверяются© длинна© и/или© контрольные©© суммы файлов,© наличие© в© системе© пользователей© с© UID = 0, и т.д. О всех подозрительных явлениях пишется письмо root'у.© При модификации файлов cron пишется протокол в файл /usr/adm/cronlog. ©©©

В некоторых© системах,© например© во© FreeBSD существуют командные файлы /etc/daily,© /etc/weekly© и /etc/monthly. /etc/daily запускается cron'ом© ежедневно© в© 2:00am© и© сравнивает© информацию выдаваемую по команде ls -laT для всех© suid'ных© файлов© с информацией© предыдущего дня.

©©

Иными© словами© /etc/daily© сравнивает© /var/log/setuid.today и /var/log/setuid.yesterday.©©©© О© всех© изменениях© посылаются© письмо администратору. Так что, если вы изменили© или© добавили© какой-нибудь SUID'ный файл, не забудьте© сделать© соответствующие© изменения в этих двух файлах.