我想知道我是否可以相信日志文件。 *nix 中的日志文件有多安全?与 Windows 和 OSX 相比,Linux 在保护日志文件方面是否更好?日志文件是否有可能被修改而没有任何痕迹?
答案1
具有 root 访问权限的任何人都可以修改日志文件。即使日志文件具有append-only属性(例如 with chattr +a),root 也可以删除该属性,修改文件,然后将仅附加属性添加回文件。
如果您担心具有 root 访问权限的本地用户(例如通过sudo)或破解者修改您的日志文件,您可以配置syslogd将部分或全部系统日志条目发送到另一台主机。当然,如果他们也拥有或获得对您的远程日志记录主机的访问权限,那么他们也可以修改那里的文件(这就是日志主机往往高度安全的原因)。
非 root 用户只能在文件权限允许的情况下修改日志文件。在正确配置的系统上,他们不能。对于某些日志文件(例如/var/log/auth.log),他们甚至不应该能够读取它们。