日誌檔案安全性設定

日誌檔案的重要性毋庸置疑, 那怎樣保證日誌檔案的安全性呢? 如何保證日誌檔案被刪除或者被 root 自己不小心更改呢? 我們可以通過一個隱藏屬性來設定你的日誌檔案成為” 只能增加資料但不能被刪除的狀態”.
 
chatter 設定 a 這個屬性時, 它只能被增加, 而不能被刪除! 這個選項非常符合日誌檔案的需求.
設定方法:
[root@sqj log]# chattr +a /var/log/messages
[root@sqj log]# lsattr /var/log/messages
—–a——-e- /var/log/messages
 
注:
加入了這個屬性之後, 你的/var/log/message 日誌檔案就僅能被增加, 而不能被刪除了, 直到 root 以”chattr -a /var/log/messages” 取消這個 a 的引數之後, 才能被移動或刪除.
這個標識最大的用處除了保護你的日誌檔案的資料外, 同樣還可以幫助你避免不小心寫入日誌檔案的狀況. 但是, 當你不小心手動改動過日誌檔案後, 例如你使用 vi 開啓, 離開卻執行:wq 的引數, 那麼該檔案將不會繼續進行日誌記錄了. 而要讓該日誌檔案可以繼續寫入, 你只要重新啓動 rsyslog(/etc/init.d/rsyslog restart) 即可!