Qmail我用了一段時間，感覺還不錯，由于安裝和配置的麻煩，大家可以通過日志系統(tǒng)，來判斷分析系統(tǒng)和qmail是否正常，來發(fā)現(xiàn)解決問題。

　　前面幾篇介紹了一個unix上安裝了qmail，做完所有的配置工作，你可能以為工作就要告一段落了。不幸的是，工作剛剛開始。相對于安裝和配置，真正讓人反感的是管理和對錯誤地發(fā)現(xiàn)和解決。下面我們講一下通過日志，來判斷分析系統(tǒng)和qmail是否正常，來發(fā)現(xiàn)解決問題。在這里，我們分系統(tǒng)日志和qmail日志兩部分來講。講一下系統(tǒng)日志，因為主機系統(tǒng)安全是一切服務(wù)的基礎(chǔ)，也是qmail日志的前提。

　　1 系統(tǒng)日志

　　unix系統(tǒng)能夠跟蹤系統(tǒng)中發(fā)生的事件并將每一個事件的所有消息記錄到系統(tǒng)的日志文件中。日志對于安全來說，非常重要，他記錄了系統(tǒng)每天發(fā)生的各種各樣的事情，你可以通過他來檢查錯誤發(fā)生的原因，或者受到攻擊時攻擊者留下的痕跡。日志主要的功能有：審計和監(jiān)測。他還可以實時的監(jiān)測系統(tǒng)狀態(tài)，監(jiān)測和追蹤侵入者等等。作為一個管理員，你應(yīng)該每天至少掃描一遍日志，來監(jiān)視系統(tǒng)或安全問題。在Linux系統(tǒng)中，有三個主要的日志子系統(tǒng).

　　1.1連接時間日志

　　連接時間日志--由多個程序執(zhí)行，把紀(jì)錄寫入到/var/log/wtmp和/var/run/utmp，login等程序更新wtmp和utmp文件，使系統(tǒng)管理員能夠跟蹤誰在何時登錄到系統(tǒng)。wtmp和utmp文件都是二進制文件，他們不能被諸如tail命令剪貼或合并(使用cat命令)。用戶需要使用who、w、users、last和ac來使用這兩個文件包含的信息。

　　who：who命令查詢utmp文件并報告當(dāng)前登錄的每個用戶。Who的缺省輸出包括用戶名、終端類型、登錄日期及遠程主機。例如：who(回車)顯示(表1)

　　chyang pts/0 Aug 18 15:06 (192.168.1.3)

　　ynguo pts/2 Aug 18 15:32 (192.168.1.3)

　　ynguo pts/3 Aug 18 13:55 (192.168.1.3)

　　lewis pts/4 Aug 18 13:35 (192.168.1.3)

　　ynguo pts/7 Aug 18 14:12 (192.168.1.3)

　　ylou pts/8 Aug 18 14:15 (192.168.1.3)

　　如果指明了wtmp文件名，則who命令查詢所有以前的紀(jì)錄。命令who /var/log/wtmp將報告自從wtmp文件創(chuàng)建或刪改以來的每一次登錄。

　　w：w命令查詢utmp文件并顯示當(dāng)前系統(tǒng)中每個用戶和它所運行的進程信息。例如：w(回車)顯示(表2)：3:36pm up 1

　　day, 22:34, 6 users, load average: 0.23, 0.29, 0.27

　　USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT

　　chyang pts/0 202.38.68.242 3:06pm 2:04 0.08s 0.04s -bash

　　ynguo pts/2 202.38.79.47 3:32pm 0.00s 0.14s 0.05 w

　　lewis pts/3 202.38.64.233 1:55pm 30:39 0.27s 0.22s -bash

　　lewis pts/4 202.38.64.233 1:35pm 6.00s 4.03s 0.01s sh /home/users/

　　ynguo pts/7 simba.nic.ustc.e 2:12pm 0.00s 0.47s 0.24s telnet mail

　　ylou pts/8 202.38.64.235 2:15pm 1:09m 0.10s 0.04s -bash

　　users：users用單獨的一行打印出當(dāng)前登錄的用戶，每個顯示的用戶名對應(yīng)一個登錄會話。如果一個用戶有不止一個登錄會話，那他的用戶名將顯示相同的次數(shù)。例如：users(回車)顯示：chyang lewis lewis ylou ynguo ynguo

　　last：last命令往回搜索wtmp來顯示自從文件第一次創(chuàng)建以來登錄過的用戶。例如(表3)：

　　chyang pts/9 202.38.68.242 Tue Aug 1 08:34 - 11:23 (02:49)

　　cfan pts/6 202.38.64.224 Tue Aug 1 08:33 - 08:48 (00:14)

　　chyang pts/4 202.38.68.242 Tue Aug 1 08:32 - 12:13 (03:40)

　　lewis pts/3 202.38.64.233 Tue Aug 1 08:06 - 11:09 (03:03)

　　lewis pts/2 202.38.64.233 Tue Aug 1 07:56 - 11:09 (03:12)

　　如果指明了用戶，那么last只報告該用戶的近期活動，例如：last ynguo(回車)顯示(表4)：

　　ynguo pts/4 simba.nic.ustc.e Fri Aug 4 16:50 - 08:20 (15:30)

　　ynguo pts/4 simba.nic.ustc.e Thu Aug 3 23:55 - 04:40 (04:44)

　　ynguo pts/11 simba.nic.ustc.e Thu Aug 3 20:45 - 22:02 (01:16)

　　ynguo pts/0 simba.nic.ustc.e Thu Aug 3 03:17 - 05:42 (02:25)

　　ynguo pts/0 simba.nic.ustc.e Wed Aug 2 01:04 - 03:16 1+02:12)

　　ynguo pts/0 simba.nic.ustc.e Wed Aug 2 00:43 - 00:54 (00:11)

　　ynguo pts/9 simba.nic.ustc.e Thu Aug 1 20:30 - 21:26 (00:55)

　　ac：ac命令根據(jù)當(dāng)前的/var/log/wtmp文件中的登錄進入和退出來報告用戶連結(jié)的時間(小時)，如果不使用標(biāo)志，則報告總的時間。例如：ac(回車)顯示：total 5177.47

　　ac -d(回車)顯示每天的總的連結(jié)時間 (表5)：

　　Aug 12 total 261.87

　　Aug 13 total 351.39

　　Aug 14 total 396.09

　　Aug 15 total 462.63

　　Aug 16 total 270.45

　　Aug 17 total 104.29

　　Today total 179.02

　　ac -p (回車)顯示每個用戶的總的連接時間 (表6)：

　　ynguo 193.23

　　yucao 3.35

　　rong 133.40

　　hdai 10.52

　　zjzhu 52.87

　　zqzhou 13.14

　　liangliu 24.34

　　total 5178.24

　　lastlog：lastlog文件在每次有用戶登錄時被查詢?？梢允褂胠astlog命令來檢查某特定用戶上次登錄的時間，并格式化輸出上次登錄日志/var/log/lastlog的內(nèi)容。它根據(jù)UID排序顯示登錄名、端口號(tty)和上次登錄時間。如果一個用戶從未登錄過，lastlog顯示"**Never logged**。注意需要以root運行該命令，例如(表7)：

　　rong 5 202.38.64.187 Fri Aug 18 15:57:01 +0800 2000

　　dbb **Never logged in**

　　xinchen **Never logged in**

　　pb9511 **Never logged in**

　　xchen 0 202.38.64.190 Sun Aug 13 10:01:22 +0800 2000

　　另外，可一加一些參數(shù)，例如，last -u 102將報告UID為102的用戶;last -t 7表示限制上一周的報告。

　　1.2 進程統(tǒng)計日志

　　進程統(tǒng)計--由系統(tǒng)內(nèi)核執(zhí)行。當(dāng)一個進程終止時，為每個進程往進程統(tǒng)計文件(pacct或acct)中寫一個紀(jì)錄。進程統(tǒng)計的目的是為系統(tǒng)中的基本服務(wù)提供命令使用統(tǒng)計。

　　UNIX可以跟蹤每個用戶運行的每條命令，如果想知道昨晚弄亂了哪些重要的文件，進程統(tǒng)計子系統(tǒng)可以告訴你。它對還跟蹤一個侵入者有幫助。與連接時間日志不同，進程統(tǒng)計子系統(tǒng)缺省不激活，它必須啟動。在Linux系統(tǒng)中啟動進程統(tǒng)計使用accton命令，必須用root身份來運行。Accton命令的形式accton file，file必須先存在。先使用touch命令來創(chuàng)建pacct文件：

　　# touch /var/log/pacct

　　然后運行accton：

　　# accton /var/log/pact

　　一旦accton被激活，就可以使用lastcomm命令監(jiān)測系統(tǒng)中任何時候執(zhí)行的命令。若要關(guān)閉統(tǒng)計，可以使用不帶任何參數(shù)的accton命令。

　　lastcomm命令報告以前執(zhí)行的文件。不帶參數(shù)時，lastcomm命令顯示當(dāng)前統(tǒng)計文件生命周期內(nèi)紀(jì)錄的所有命令的有關(guān)信息。包括命令名、用戶、tty、命令花費的CPU時間和一個時間戳。如果系統(tǒng)有許多用戶，輸入則可能很長。下面的例子(表8)：

　　crond F root ?? 0.00 secs Sun Aug 20 00:16

　　promisc_check.s S root ?? 0.04 secs Sun Aug 20 00:16

　　promisc_check root ?? 0.01 secs Sun Aug 20 00:16

　　grep root ?? 0.02 secs Sun Aug 20 00:16

　　tail root ?? 0.01 secs Sun Aug 20 00:16

　　sh root ?? 0.01 secs Sun Aug 20 00:15

　　ping S root ?? 0.01 secs Sun Aug 20 00:15

　　ping6.pl F root ?? 0.01 secs Sun Aug 20 00:15

　　sh root ?? 0.01 secs Sun Aug 20 00:15

　　ping S root ?? 0.02 secs Sun Aug 20 00:15

　　ping6.pl F root ?? 0.02 secs Sun Aug 20 00:15

　　sh root ?? 0.02 secs Sun Aug 20 00:15

　　ping S root ?? 0.00 secs Sun Aug 20 00:15

　　ping6.pl F root ?? 0.01 secs Sun Aug 20 00:15

　　sh root ?? 0.01 secs Sun Aug 20 00:15

　　ping S root ?? 0.01 secs Sun Aug 20 00:15

　　進程統(tǒng)計的一個問題是pacct文件可能增長的十分迅速。這時需要交互式的或經(jīng)過cron機制運行sa命令來保持日志數(shù)據(jù)在系統(tǒng)控制內(nèi)。sa命令報告、清理并維護進程統(tǒng)計文件。它能把/var/log/pacct中的信息壓縮到摘要文件/var/log/savacct和/var/log/usracct中。這些摘要包含按命令名和用戶名分類的系統(tǒng)統(tǒng)計數(shù)據(jù)。sa缺省情況下先讀它們，然后讀pacct文件，使報告能包含所有的可用信息。sa的輸出有下面一些標(biāo)記項(表9)：

　　avio--每次執(zhí)行的平均I/O操作次數(shù)

　　cp--用戶和系統(tǒng)時間總和，以分鐘計

　　cpu--和cp一樣

　　k--內(nèi)核使用的平均CPU時間，以1k為單位

　　k*sec--CPU存儲完整性，以1k-core秒

　　re--實時時間，以分鐘計

　　s--系統(tǒng)時間，以分鐘計

　　tio--I/O操作的總數(shù)

　　u--用戶時間，以分鐘計

　　例如(表10)：

　　842 173.26re 4.30cp 0avio 358k

　　2 10.98re 4.06cp 0avio 299k find

　　9 24.80re 0.05cp 0avio 291k ***other

　　105 30.44re 0.03cp 0avio 302k ping

　　104 30.55re 0.03cp 0avio 394k sh

　　162 0.11re 0.03cp 0avio 413k security.sh*

　　154 0.03re 0.02cp 0avio 273k ls

　　56 31.61re 0.02cp 0avio 823k ping6.pl*

　　2 3.23re 0.02cp 0avio 822k ping6.pl

　　35 0.02re 0.01cp 0avio 257k md5sum

　　97 0.02re 0.01cp 0avio 263k initlog

　　12 0.19re 0.01cp 0avio 399k promisc_check.s

　　15 0.09re 0.00cp 0avio 288k grep

　　11 0.08re 0.00cp 0avio 332k awk

　　用戶還可以根據(jù)用戶而不是命令來提供一個摘要報告。例如sa -m顯示如下(表11)：

　　885 173.28re 4.31cp 0avk

　　root 879 173.23re 4.31cp 0avk

　　alias 3 0.05re 0.00cp 0avk

　　qmailp 3 0.01re 0.00cp 0avk

#p#

　　1.3 錯誤日值

　　錯誤日志--由syslogd執(zhí)行。各種系統(tǒng)守護進程、用戶程序和內(nèi)核通過syslog向文件/var/log/messages報告值得注意的事件。另外有許多UNIX程序創(chuàng)建日志。像HTTP和FTP這樣提供網(wǎng)絡(luò)服務(wù)的服務(wù)器也保持詳細(xì)的日志。

　　Syslog已被許多日志函數(shù)采納，它用在許多保護措施中--任何程序都可以通過syslog 紀(jì)錄事件。Syslog可以紀(jì)錄系統(tǒng)事件，可以寫到一個文件或設(shè)備中，或給用戶發(fā)送一個信息。它能紀(jì)錄本地事件或通過網(wǎng)絡(luò)紀(jì)錄另一個主機上的事件。

　　Syslog設(shè)備依據(jù)兩個重要的文件：/etc/syslogd(守護進程)和/etc/syslog.conf配置文件，習(xí)慣上，多數(shù)syslog信息被寫到/var/adm或/var/log目錄下的信息文件(messages.*)。一個典型的syslog紀(jì)錄包括生成程序的名字和一個文本信息。它還包括一個設(shè)備和一個優(yōu)先級范圍(但不在日之中出現(xiàn))。

　　每個syslog消息被賦予下面的主要設(shè)備之一(表12)：

　　LOG_AUTH--認(rèn)證系統(tǒng)：login、su、getty等

　　LOG_AUTHPRIV--同LOG_AUTH，但只登錄到所選擇的單個用戶可讀的文件中

　　LOG_CRON--cron守護進程

　　LOG_DAEMON--其他系統(tǒng)守護進程，如routed

　　LOG_FTP--文件傳輸協(xié)議：ftpd、tftpd

　　LOG_KERN--內(nèi)核產(chǎn)生的消息

　　LOG_LPR--系統(tǒng)打印機緩沖池：lpr、lpd

　　LOG_MAIL--電子郵件系統(tǒng)

　　LOG_NEWS--網(wǎng)絡(luò)新聞系統(tǒng)

　　LOG_SYSLOG--由syslogd(8)產(chǎn)生的內(nèi)部消息

　　LOG_USER--隨機用戶進程產(chǎn)生的消息

　　LOG_UUCP--UUCP子系統(tǒng)

　　LOG_LOCAL0~LOG_LOCAL7--為本地使用保留

　　Syslog為每個事件賦予幾個不同的優(yōu)先級(表13)：

　　LOG_EMERG--緊急情況

　　LOG_ALERT--應(yīng)該被立即改正的問題，如系統(tǒng)數(shù)據(jù)庫破壞

　　LOG_CRIT--重要情況，如硬盤錯誤

　　LOG_ERR--錯誤

　　LOG_WARNING--警告信息

　　LOG_NOTICE--不是錯誤情況，但是可能需要處理

　　LOG_INFO--情報信息

　　LOG_DEBUG--包含情報的信息，通常旨在調(diào)試一個程序時使用

　　syslog.conf文件指明syslogd程序紀(jì)錄日志的行為，該程序在啟動時查詢配置文件。該文件由不同程序或消息分類的單個條目組成，每個占一行。對每類消息提供一個選擇域和一個動作域。這些域由tab隔開：選擇域指明消息的類型和優(yōu)先級;動作域指明syslogd接收到一個與選擇標(biāo)準(zhǔn)相匹配的消息時所執(zhí)行的動作。每個選項是由設(shè)備和優(yōu)先級組成。當(dāng)指明一個優(yōu)先級時，syslogd將紀(jì)錄一個擁有相同或更高優(yōu)先級的消息。所以如果指明"crit"，那所有標(biāo)為crit、alert和emerg的消息將被紀(jì)錄。每行的行動域指明當(dāng)選擇域選擇了一個給定消息后應(yīng)該把他發(fā)送到哪兒。

　　例如，如果想把所有郵件消息紀(jì)錄到一個文件中，如下(表14)：

　　#Log all the mail messages in one place

　　mail.* /var/log/maillog

　　其他設(shè)備也有自己的日志。UUCP和news設(shè)備能產(chǎn)生許多外部消息。它把這些消息存到自己的日志(/var/log/spooler)中并把級別限為"err"或更高。例如：

　　# Save mail and news errors of level err and higher in aspecial file.

　　uucp,news.crit /var/log/spooler

　　當(dāng)一個緊急消息到來時，可能想讓所有的用戶都得到。也可能想讓自己的日志接收并保存。

　　#Everybody gets emergency messages， plus log them on anther machine

　　*.emerg *

　　*.emerg @linuxaid.com.cn

　　alert消息應(yīng)該寫到root和tiger的個人賬號中：

　　#Root and Tiger get alert and higher messages

　　*.alert root,tiger

　　有時syslogd將產(chǎn)生大量的消息。例如內(nèi)核("kern"設(shè)備)可能很冗長。用戶可能想把內(nèi)核消息紀(jì)錄到/dev/console中。下面的例子表明內(nèi)核日志紀(jì)錄被注釋掉了：

　　#Log all kernel messages to the console

　　#Logging much else clutters up the screen

　　#kern.* /dev/console

　　用戶可以在一行中指明所有的設(shè)備。下面的例子把info或更高級別的消息送到/var/log/messages，除了mail以外。級別"none"禁止一個設(shè)備：

　　#Log anything(except mail)of level info or higher

　　#Don\'t log private authentication messages!

　　*.info:mail.none;authpriv.none /var/log/messages

　　在有些情況下，可以把日志送到打印機，這樣網(wǎng)絡(luò)入侵者怎么修改日志都沒有用了。通常要廣泛紀(jì)錄日志。Syslog設(shè)備是一個攻擊者的顯著目標(biāo)。一個為其他主機維護日志的系統(tǒng)對于防范服務(wù)器攻擊特別脆弱，因此要特別注意。

　　有個小命令logger為syslog(3)系統(tǒng)日志文件提供一個shell命令接口，使用戶能創(chuàng)建日志文件中的條目。用法：logger 例如：logger This is a test!

　　它將產(chǎn)生一個如下的syslog紀(jì)錄：Aug 19 22:22:34 tiger: This is a test!

　　注意不要完全相信日志，因為攻擊者很容易修改它的。

　　1.4 程序日志

　　許多程序通過維護日志來反映系統(tǒng)的安全狀態(tài)。su命令允許用戶獲得另一個用戶的權(quán)限，所以它的安全很重要，它的文件為sulog。同樣的還有sudolog。另外，象Apache有兩個日志：access_log和error_log。

　　這里用了大量的篇章來說了系統(tǒng)日志，是必要的。如果不能保證主機的安全，也談不上服務(wù)了。下面，我們將詳細(xì)講一下mail日志。

　　2.1 qmail的替代日志程序

　　長久以來，針對標(biāo)準(zhǔn)的syslogd程序的效率，已經(jīng)有很多爭議了。一個消息發(fā)送給syslogd，病不能保證消息被真正的寫道日志中，另外，他的寫的速度并不快。

　　下面是slogger遵循的幾個條件：

　　1、 每一條消息都有時間戳，時間戳被附加到消息中。

　　2、 每一條消息都要對關(guān)鍵字aler：或者warning:進行檢查。如果其中有一個出現(xiàn)了，就為消息選定一個適當(dāng)?shù)膬?yōu)先級水平。

　　3、 消息中的不可打印的字符被轉(zhuǎn)換成問號(?)。

　　4、 不記錄空白行。

　　5、 超過800個字符的消息被分割成800個字符的多行消息。分割的行在時間戳后用一個加號標(biāo)識。

　　針對以上，qmail的創(chuàng)始人dan bernstein開發(fā)了splogger程序，它包含在qmail軟件包中。

　　用它來替代系統(tǒng)的syslog.是用splogger程序作為日志程序，將qmail記錄重新定向給splogger程序，在將記錄轉(zhuǎn)發(fā)給linux的syslog程序。Mail日志的位置取決于/etc/syslog.conf文件設(shè)定的值，在上面我們詳細(xì)將過了怎樣設(shè)置。

　　2.2 讀qmail日志

　　一旦消息被記錄，就應(yīng)該監(jiān)控記錄以發(fā)現(xiàn)問題。下面看一個qmail的mail日志文件(表15)：

　　1、 Apr 11 02:02:18 mail qmail : 955436538.813320 new msg 18995

　　2、 Apr 11 02:02:18 mail qmail : 955436538.815787 info msg 18995: byte 603 from < root@mail.96633.net > qp 26920 uid 0

　　3、 Apr 11 02:02:18 mail qmail : 955436538.892499 starting delivery 103: msg 18995 to local root@96633.net

　　4、 Apr 11 02:02:18 mail qmail : 955436538.895936 status: local 1/10 remote 0/20

　　5、 Apr 11 02:02:19 mail qmail : 955436539.075785 delivery 103: success:did_0+1+0/qp-26976/

　　6、 Apr 11 02:02:19 mail qmail : 955436539.098222 status: local 0/10 remote 0/20

　　7、 Apr 11 02:02:19 mail qmail : 955436539.100838 end msg 18995

　　第一行給出了接收這條新消息的qmail日志。

　　第二行使用發(fā)送者以及消息的大小標(biāo)識消息。

　　第三行表示qmail正在初始化發(fā)送。

　　第四行給出了qmail的狀態(tài)。顯示出郵件隊列中只有一條消息在等待發(fā)送。

　　第五行表明成功將消息發(fā)送給本地用戶。

　　正如以上看到，qmail項可能看起來令人疑惑，他有6種類型的qmail日志消息：

　　1、 狀態(tài)

　　2、 致命問題

　　3、 嚴(yán)重問題

　　4、 消息

　　5、 發(fā)送項

　　6、 警告

　　下面我們將逐一介紹qmail的日志類型。

　　2.3 狀態(tài)消息

　　狀態(tài)消息記錄了服務(wù)器上的操作。一條狀態(tài)消息的格式如下：

　　status：local n/L remote r/R

　　其中n/L為隊列中的本地消息數(shù)量(n) 以及本地郵件隊列的大小(L)。r/R是隊列中的遠程消息的數(shù)量(r)以及遠程郵件隊列的大小。如(表15)中的第四行。如果你注意到隊列頻繁的被消息填滿，你就有可能要改變郵件隊列的大小了?？梢酝ㄟ^更改qmail的控制文件，來實現(xiàn)。在《qmail管理維護(三)系統(tǒng)配置》中我們講過。

　　2.4 致命問題

　　致命問題是那些導(dǎo)致qmail異常終止和停止運行的問題，應(yīng)該馬上處理你的mail server。

　　Qmail致命問題日志消息(表16)

　　alert：can not start qmail-send不能初始化來進行啟動。通常這是一個配置文件問題的征兆

　　alert：oh no! lost 一個支持后臺的程序，例如：qmail-lspawn or qmail-rspawn已經(jīng)死掉，因此qmail-send將關(guān)閉。

　　2.5 嚴(yán)重問題

　　有嚴(yán)重問題的紀(jì)錄，就是qmail不能處理一個特定的事件但會重試。嚴(yán)重問題不會qmail

　　停止運行，但如果持續(xù)出現(xiàn)，可能會導(dǎo)致一個致命問題出現(xiàn)，使qmail關(guān)閉。如下：

　　qmail嚴(yán)重問題日志(表16)

　　alert: unable to append bounce message qmail-send不能處理一個永久的發(fā)送失敗，通

　　常是沒有硬盤空間了。

　　alert: out of memory qmail-send 試圖分配內(nèi)存，但是失敗了

　　alert: unable to opendir qmail-send不能從硬盤打開一個文件列表，因

　　為權(quán)限不夠，或描述符表已滿。

　　alert: unable to switch back qmail-send收到一個sighup信號，但不能讀隊列目錄。

　　alert: unable to reread qmail-send收到一個sighup信號，但不能讀控制目錄。

通過上文，我們詳細(xì)的了解了系統(tǒng)日志和qmail的系統(tǒng)日志，希望對你們有所幫助！

【編輯推薦】

• 深入了解 Qmail的工作原理和配置文件
• Qmail簡單介紹
• 清除Qmail的郵件隊列軟件
• Mysql安裝與qmail實際操作概述
• linux-qmail 病毒/垃圾郵件處理
• Sendmail Qmail Postfix 大比拼
• Qmail的安裝