网络安全之痕迹清理

Linux痕迹清理

清除Linux操作系统的日志和登录记录需要谨慎操作,因为这些记录可能包含重要的安全和系统性能信息。在执行任何清除操作之前,应该确保已经对这些日志进行了备份,并且清除操作是符合公司政策和法律法规的。

下面是一个基本的bash脚本示例,用于清除Linux系统中的一些常见日志文件。请注意,这个脚本只是一个示例,实际使用时需要根据具体的系统环境和需求进行调整。

在使用这个脚本之前,请确保你完全理解脚本的每个步骤,并且已经对其进行了测试。此外,还需要确保备份的日志文件被安全地存储,以防未来需要进行审计或分析。

重要提示:在实际工作中,清除日志文件可能涉及到合规性和安全性的考量。在执行此类操作之前,请确保你有适当的权限,并且已经获得了必要的批准。此外,定期审查和维护日志清除策略是保持系统安全的重要部分。

c 复制代码
#!/bin/bash

# 确保脚本以root用户权限运行,因为清除系统日志通常需要管理员权限
if [ "$(id -u)" -ne 0 ]; then
    echo "此脚本需要root权限,请使用sudo运行。"  # 提示用户需要以root权限运行
    exit 1  # 如果不是root用户,则退出脚本
fi

# 定义备份日志文件的目录,所有备份的日志文件将被存放在这里
LOG_BACKUP_DIR="/backup/logs"

# 定义一个数组,列出需要被清除的日志文件的路径
LOG_FILES=(
    "/var/log/messages"  # 系统日志文件
    "/var/log/syslog"    # 旧的系统日志文件(CentOS系统中常见)
    "/var/log/secure"   # 安全相关的日志,如SSH登录尝试
    "/var/log/lastlog"  # 记录所有用户的最后登录时间
    "/var/log/btmp"     # 记录失败的登录尝试
    "/var/log/wtmp"     # 记录所有用户的登录和注销事件
    "/var/log/faillog"  # 记录失败的密码尝试
)

# 创建备份目录,如果目录不存在,则使用mkdir命令创建
mkdir -p "$LOG_BACK_DIR"

# 获取当前日期,用于备份文件的命名,格式为YYYY-MM-DD
CURRENT_DATE=$(date +"%Y-%m-%d")

# 遍历所有需要备份的日志文件
for LOG_FILE in "${LOG_FILES[@]}"; do
    # 检查日志文件是否存在
    if [ -f "$LOG_FILE" ]; then
        # 如果存在,创建一个备份
        # 使用当前日期作为备份文件的一部分,以区分不同时间点的备份
        cp "$LOG_FILE" "$LOG_BACKUP_DIR/${LOG_FILE##*/}_$CURRENT_DATE.gz"
        # 使用gzip命令压缩备份的日志文件,以节省空间
        gzip -f "$LOG_BACKUP_DIR/${LOG_FILE##*/}_$CURRENT_DATE.gz"
    fi
done

# 遍历所有需要清除的日志文件
for LOG_FILE in "${LOG_FILES[@]}"; do
    # 检查日志文件是否存在
    if [ -f "$LOG_FILE" ]; then
        # 清除日志文件内容,使用重定向操作符">"将空内容写入文件
        > "$LOG_FILE"
        # 更改日志文件的所有者为syslog,这通常是负责写入日志的系统进程
        chown syslog:adm "$LOG_FILE"
        # 更改文件权限,使其只能由syslog用户和管理员读取和写入
        chmod 0640 "$LOG_FILE"
    fi
done

# 输出完成信息,告知用户操作已经完成
echo "日志清除和备份完成。"

下面是以Centos7为例

c 复制代码
#!/bin/bash

# 确保脚本以root用户权限运行,因为清除系统日志通常需要管理员权限
if [[ $EUID -ne 0 ]]; then
    echo "此脚本需要以root用户权限运行。请使用sudo命令执行。"
    exit
fi

# 定义备份日志文件的目录,所有备份的日志文件将被存放在这里
LOG_BACKUP_DIR="/var/backup/logs"

# 定义一个数组,列出需要被清除的日志文件的路径
LOG_FILES=(
    "/var/log/messages"
    "/var/log/secure"
    "/var/log/cron"
    "/var/log/maillog"
    "/var/log/spooler"
    "/var/log/boot.log"
    "/var/log/lastlog"
    "/var/log/tallylog"
    "/var/log/btmp"
    "/var/log/wtmp"
)

# 创建备份目录,如果目录不存在,则使用mkdir命令创建
mkdir -p "$LOG_BACKUP_DIR"

# 获取当前日期,用于备份文件的命名,格式为YYYY-MM-DD
CURRENT_DATE=$(date +"%Y%m%d")

# 遍历所有需要备份的日志文件
for LOG_FILE in "${LOG_FILES[@]}"; do
    # 检查日志文件是否存在
    if [[ -f "$LOG_FILE" ]]; then
        # 备份日志文件,使用当前日期作为备份文件的一部分
        # 压缩备份文件以节省空间
        gzip -c "$LOG_FILE" > "$LOG_BACKUP_DIR/$(basename "$LOG_FILE")_${CURRENT_DATE}.gz"
        # 清除原始日志文件内容,为新的日志条目做准备
        > "$LOG_FILE"
        # 确保日志文件的权限正确设置
        chown root:root "$LOG_FILE"
        chmod 640 "$LOG_FILE"
    fi
done

# 输出完成信息,告知用户操作已经完成
echo "日志文件已清除并备份至 $LOG_BACKUP_DIR"

日志文件

c 复制代码
LOG_FILES=(
    "/var/log/messages"  # 包含系统和服务的消息,是最主要的日志文件之一
    "/var/log/secure"   # 包含认证和授权相关的日志,如SSH登录尝试
    "/var/log/cron"     # 包含cron守护进程的日志,记录计划任务的执行情况
    "/var/log/maillog"  # 包含邮件系统日志,记录邮件的发送和接收情况
    "/var/log/spooler"  # 包含UUCP和news spool数据的日志
    "/var/log/boot.log"  # 包含系统启动时的日志信息
    "/var/log/lastlog"  # 记录所有用户的最后登录时间
    "/var/log/tallylog"  # 包含用户登录失败的计数
    "/var/log/btmp"     # 包含失败的登录尝试记录
    "/var/log/wtmp"     # 包含所有用户的登录、注销和系统启动/关机事件
)
相关推荐
FreeBuf_15 分钟前
Spring Cloud Gateway WebFlux现cvss10分高危漏洞,可导致环境属性篡改
安全·web安全
grrrr_110 小时前
【工具类】Nuclei YAML POC 编写以及批量检测
网络·安全·web安全
中新赛克11 小时前
双引擎驱动!中新赛克AI安全方案入选网安创新大赛优胜榜单
人工智能·安全
Suckerbin14 小时前
digitalworld.local: TORMENT
笔记·安全·web安全·网络安全
普通网友14 小时前
前端安全攻防:XSS, CSRF 等防范与检测
前端·安全·xss
CYRUS_STUDIO16 小时前
如何防止 so 文件被轻松逆向?精准控制符号导出 + JNI 动态注册
android·c++·安全
CYRUS_STUDIO16 小时前
C&C++ 代码安全再升级:用 OLLVM 给 so 加上字符串加密保护
c++·安全·llvm
lingggggaaaa16 小时前
小迪安全v2023学习笔记(八十讲)—— 中间件安全&WPS分析&Weblogic&Jenkins&Jetty&CVE
笔记·学习·安全·web安全·网络安全·中间件·wps
北极光SD-WAN组网16 小时前
基于智能组网设备的港口网络安全闭环管控方案设计与实践
网络·安全·web安全
FreeBuf_19 小时前
Salesloft Drift网络攻击事件溯源:GitHub账户失陷与OAuth令牌窃取
安全·github