ИНСТРУКЦИЯ К МЕТЛЕ ДЛЯ LINUX

Дмитрий Докучаев aka Forb

Спецвыпуск Xakep, номер #032, стр. 032-030-1

(forb@real.xakep.ru)

ЛОГВАЙПЕРЫ HOWTO

Клинер grlogwipe отличается своей многофункциональностью и быстротой. Так что именно на его примере я попробую разложить все по полкам и рассказать, как юзать опции вайпера. Практика показывает, что в самом навороченном проекте используется не больше трети его возможностей. И это происходит, как правило, из-за незнания синтаксиса командной строки, названий опций, лени читать хелпы и т.д.

Итак, вернемся к grlogwipe. Скачиваем сей проект, распаковываем известной нам командой tar zxf grlogwipe.tar.gz и переходим в рабочую директорию. Далее компилим командой gcc grlogwipe.c -o grlogwipe. Клинер должен быстро собраться на любой unix-like платформе.

Посмотрим его опции. Для этого запустим клинер без параметров. Главные его опции это -r и -w. Первая удаляет шаблоны, взятые от других параметров, из бинарных файлов. Опция записи позволяет модифицировать бинарные файлы, заменяя в них имя пользователя, хост, дату захода в систему и т.п.

ПОДСТАВА - ДЕЛО БЛАГОРОДНОЕ

Перейдем к практике. Попробуем сменить имя пользователя root на lamer ;). В этом нам помогут опции -u и -U. Первая принимает шаблонное имя, вторая - имя, на которое заменяем. В довершение следует сказать клинеру, что мы работаем с бинарниками в режиме изменения данных. Вся командная строка запишется следующим образом:

./grlogwipe -u root -U lamer -w

Выполнив last lamer, мы убедимся в правильной работе логвайпера. На самом деле опция замены пользователя иногда может быть полезной. Все зависит от исходной ситуации.

Хост пользователя заменяется аналогично. Только вместо параметров -u и -U используются -h и -H. Команда:

./grlogwipe -u root -U lamer -h 127.0.0.1 -H 192.192.192.1 -w

заменит логин root и хост 127.0.0.1 на другие значения в случае совпадения заданного шаблона. Дата захода также может быть заменена, только указывать ее нужно через опции -d и -D в формате mmddhhmmss.

ПРЯМАЯ ЗАДАЧА - УБИРАЕМ ЗА СОБОЙ

"Зачем эти извращения?" - спросишь ты и потребуешь от меня синтаксиса, ориентированного на полное удаление шаблонной записи. Это также возможно и делается путем опускания заглавных опций и добавления параметра -w. Таким образом, строка:

./grlogwipe -u root -H 127.0.0.1 -w -r

уберет из бинарных логов все заходы рута с локального IP.

Шаблон можно задавать как по логину, ip-адресу, так и по дате. Еще раз повторюсь, что указывается она в формате mmddhhmmss.

И ЭТО ВСЕ?!

Это все, на что способен grlogwipe. Не питай надежды, я не буду расписывать тебе работу всех клинеров, о которых было рассказано в обзоре. Ты прекрасно разберешься сам, прочитав исчерпывающий README к каждому из них либо просмотришь source-код при отсутствии мануала. Этот мини HOWTO лишь толчок (не путать с жаргонным значением этого слова ;)) к прочтению мануала по интересующей тебя теме.

Хост пользователя заменяется аналогично. Только вместо параметров -u и -U используются -h и -H.

Дата захода также может быть заменена, только указывать ее нужно через опции -d и -D в формате mmddhhmmss.