日志档案安全性设定

日志档案的重要性毋庸置疑, 那怎样保证日志档案的安全性呢? 如何保证日志档案被删除或者被 root 自己不小心更改呢? 我们可以通过一个隐藏属性来设定你的日志档案成为” 只能增加资料但不能被删除的状态”.
 
chatter 设定 a 这个属性时, 它只能被增加, 而不能被删除! 这个选项非常符合日志档案的需求.
设定方法:
[root@sqj log]# chattr +a /var/log/messages
[root@sqj log]# lsattr /var/log/messages
—–a——-e- /var/log/messages
 
注:
加入了这个属性之后, 你的/var/log/message 日志档案就仅能被增加, 而不能被删除了, 直到 root 以”chattr -a /var/log/messages” 取消这个 a 的引数之后, 才能被移动或删除.
这个标识最大的用处除了保护你的日志档案的资料外, 同样还可以帮助你避免不小心写入日志档案的状况. 但是, 当你不小心手动改动过日志档案后, 例如你使用 vi 开启, 离开却执行:wq 的引数, 那么该档案将不会继续进行日志记录了. 而要让该日志档案可以继续写入, 你只要重新启动 rsyslog(/etc/init.d/rsyslog restart) 即可!