实验预计耗时：30分钟

1. 课程背景

1.1 课程目的

著名网站技术调查公司W3Techs在2019-2020的调查报告中指出，71.3%的网站服务器都部署在Linux系统上。除此以外，Linux系统在其他类型的服务器上，如FTP服务器、电子邮件服务器、DNS服务器等，也被广泛应用。因此，保障Linux系统安全的重要性不言而喻。

在技术上，保障Linux系统的安全一方面需要严密有效的防御体系，用于阻隔和防御对Linux系统的攻击；另一方面还需要全面细致的入侵检测系统，提供系统被入侵的信息和证据，以及时修复。

远程日志服务器的部署属于后者。默认情况下，Linux系统的大部分日志都会保留在本地。当入侵行为发生后，会在日志信息中留下痕迹，例如黑客的登录信息。因此，黑客入侵系统后，通常会删除相关本地日志，来掩盖入侵行为。

通过部署远程日志服务器，让其他服务器把关键系统日志实时传送到远程日志服务器，而不保存在本地，就可以防止黑客删除日志信息，从而提高Linux系统的入侵检测能力。

1.2 课前知识准备

1.相关概念

• 入侵防御体系：信息安全遵循木桶原理，也就是说信息安全水平的高低，取决于防护最薄弱的环节。因此，保护信息安全需要的不是强有力的单个防御，例如部署一个性能强大的防火墙。而应该从宏观的、整体的角度出发，面面俱到，不同的安全防御相互补充和冗余，这样的一整套安全防御措施就称为入侵防御体系。
• 入侵检测：入侵防御体系就是像一座城堡的围墙，而入侵检测就像是城堡的监控系统。它可以对网络、系统的运行状况进行监视，尽可能的发现各种攻击的企图、行为和结果，以保护信息安全。
• 日志服务器：日志服务器是为其他服务器提供日志服务的角色。通过部署日志服务器，各服务器将本地收集的日志信息发送至日志服务器。在管理上，日志服务器提供了日志信息统一保存及管理的平台；而在安全方面，它防止了黑客删除本地日志，提高了系统的入侵检测能力。
• 私有网络：私有网络是腾讯云提供的逻辑隔离网络空间，与传统数据中心运行的内网环境类似。在私有网络内可以托管腾讯云上的服务资源。
• yum源：yum是Linux系统的软件包管理工具，通俗的说，就是安装软件的工具。使用yum安装软件是在软件存储库中搜索软件包及其依赖项，一并完成安装的方式。而yum源就是软件存储库，要使用yum安装软件就需要先配置yum源。
• 配置文件：在Linux系统中，一切皆文件。各服务的配置项由配置文件定义，通过修改配置文件，可以实现对服务的管理。

2.相关原理

服务端在安装syslog-ng日志服务软件包后，可接收和保存来自客户端的日志信息。当客户端在/etc/rsyslog.conf配置文件上完成修改后，产生的日志就会按照传输相关配置发送至指定的日志服务器（服务端），由日志服务器对日志信息进行管理。

3.相关命令介绍

• yum的相关命令

yum repolist                     #列出可用yum源
yum list <SOFTWARE>              #查看软件包
yum install <SOFTWARE>           #安装软件包

• 进程管理的相关命令

systemctl start <SERVICE>        #开启服务
systemctl restart <SERVICE>      #重启服务

• 文件内容查看的相关命令

tail -n <FILE>                   #查看文件最后n行内容
cat <FILE>                       #查看文件全部内容