花开的地方花开，没有声音……

　　对于Linux 的系统安全来说，日志文件是极其重要的工具。系统管理员可以使用logrotate 程序用来管理系统中的最新的事件。
　　对于Linux 的系统安全来说，日志文件是极其重要的工具。
　　系统管理员可以使用logrotate 程序用来管理系统中的最新的事件。logrotate 还可以用来备份日志文件，本篇将通过以下几部分来介绍日志文件的管理：

1、logrotate 配置
2、缺省配置 logrotate
3、使用include 选项读取其他配置文件
4、使用include 选项覆盖缺省配置
5、为指定的文件配置转储参数

一、logrotate 配置

　　logrotate 程序是一个日志文件管理工具。用来把旧的日志文件删除，并创建新的日志文件，我们把它叫做“转储”。我们可以根据日志文件的大小，也可以根据其天数来转储，这个过程一般通过 cron 程序来执行。
　　logrotate 程序还可以用于压缩日志文件，以及发送日志到指定的E-mail 。
　　logrotate 的配置文件是 /etc/logrotate.conf。主要参数如下表：

参数　　　　　　　　功能
compress　　　　　　通过gzip 压缩转储以后的日志
nocompress　　　　　不需要压缩时，用这个参数
copytruncate　　　　用于还在打开中的日志文件，把当前日志备份并截断
nocopytruncate　　　备份日志文件但是不截断
create mode owner group 转储文件，使用指定的文件模式创建新的日志文件
nocreate　　　　　　不建立新的日志文件
delaycompress 　　　和 compress 一起使用时，转储的日志文件到下一次转储时才压缩
nodelaycompress　　 覆盖 delaycompress 选项，转储同时压缩。
errors address　　　专储时的错误信息发送到指定的Email 地址
ifempty　　　　　　 即使是空文件也转储，这个是 logrotate 的缺省选项。
notifempty　　　　　如果是空文件的话，不转储
mail address　　　　把转储的日志文件发送到指定的E-mail 地址
nomail　　　　　　　转储时不发送日志文件
olddir directory　　转储后的日志文件放入指定的目录，必须和当前日志文件在同一个文件系统
noolddir　　　　　　转储后的日志文件和当前日志文件放在同一个目录下
prerotate/endscript 　在转储以前需要执行的命令可以放入这个对，这两个关键字必须单独成行
postrotate/endscript　在转储以后需要执行的命令可以放入这个对，这两个关键字必须单独成行
daily　　　　　　　　指定转储周期为每天
weekly　　　　　　　　指定转储周期为每周
monthly　　　　　　　　指定转储周期为每月
rotate count 　　　　指定日志文件删除之前转储的次数，0 指没有备份，5 指保留5 个备份
tabootext [+] list 　让logrotate 不转储指定扩展名的文件，缺省的扩展名是：.rpm-orig, .rpmsave, v, 和 ~
size size 　　　　　当日志文件到达指定的大小时才转储，Size 可以指定 bytes (缺省)以及KB (sizek)或者MB (sizem).

二、缺省配置 logrotate

logrotate 缺省的配置募 ?/etc/logrotate.conf。

Red Hat Linux 缺省安装的文件内容是：
# see “man logrotate” for details
# rotate log files weekly

weekly

# keep 4 weeks worth of backlogs
rotate 4

# send errors to root
errors root

# create new (empty) log files after rotating old ones
create

# uncomment this if you want your log files compressed
#compress
1

# RPM packages drop log rotation information into this directory
include /etc/logrotate.d

# no packages own lastlog or wtmp –we&aposll rotate them here

/var/log/wtmp {
monthly
create 0664 root utmp
rotate 1
}

/var/log/lastlog {
monthly
rotate 1
}

# system-specific logs may be configured here

缺省的配置一般放在logrotate.conf 文件的最开始处，影响整个系统。在本例中就是前面12行。
第三行weekly 指定所有的日志文件每周转储一次。
第五行 rotate 4 指定转储文件的保留 4份。
第七行 errors root 指定错误信息发送给root。
第九行create 指定 logrotate 自动建立新的日志文件，新的日志文件具有和
原来的文件一样的权限。
第11行 #compress 指定不压缩转储文件，如果需要压缩，去掉注释就可以了。

三、使用include 选项读取其他配置文件

include 选项允许系统管理员把分散到几个文件的转储信息，集中到一个
主要的配置文件。当 logrotate 从logrotate.conf 读到include 选项时，会从指定文件读入配置信息，就好像他们已经在/etc/logrotate.conf 中一样。

第13行 include /etc/logrotate.d 告诉 logrotate 读入存放在/etc/logrotate.d 目录中的日志转储参数，当系统中安装了RPM 软件包时，使用include 选项十分有用。RPM 软件包的日志转储参数一般存放在/etc/logrotate.d 目录。

include 选项十分重要，一些应用把日志转储参数存放在 /etc/logrotate.d 。

典型的应用有：apache, linuxconf, samba, cron 以及syslog。

这样，系统管理员只要管理一个 /etc/logrotate.conf 文件就可以了。

四、使用include 选项覆盖缺省配置

当 /etc/logrotate.conf 读入文件时，include 指定的文件中的转储参数将覆盖缺省的参数，如下例：

# linuxconf 的参数

/var/log/htmlaccess.log
{ errors jim
notifempty
nocompress
weekly
prerotate
/usr/bin/chattr -a /var/log/htmlaccess.log
endscript
postrotate
/usr/bin/chattr +a /var/log/htmlaccess.log
endscript
}

/var/log/netconf.log
{ nocompress
monthly
}
在这个例子中，当 /etc/logrotate.d/linuxconf 文件被读入时，下面的参数将覆盖/etc/logrotate.conf中缺省的参数。

Notifempty
errors jim

五、为指定的文件配置转储参数

经常需要为指定文件配置参数，一个常见的例子就是每月转储/var/log/wtmp。为特定文件而使用的参数格式是：

# 注释
/full/path/to/file
{
option(s)
}

下面的例子就是每月转储 /var/log/wtmp 一次：

#Use logrotate to rotate wtmp
/var/log/wtmp
{
monthly
rotate 1
}

六、其他需要注意的问题
1、尽管花括号的开头可以和其他文本放在同一行上，但是结尾的花括号必须单独成行。
2、使用 prerotate 和 postrotate 选项
下面的例子是典型的脚本 /etc/logrotate.d/syslog，这个脚本只是对

/var/log/messages 有效。

/var/log/messages
{
prerotate
/usr/bin/chattr -a /var/log/messages
endscript
postrotate
/usr/bin/kill -HUP syslogd
/usr/bin/chattr +a /var/log/messages
endscript
}

第一行指定脚本对 /var/log messages 有效

花ê哦阅诓康慕疟驹诵杏? /var/log/messages

prerotate 命令指定转储以前的动作/usr/bin/chattr -a 去掉/var/log/messages文件的“只追加”属性 endscript 结束 prerotate 部分的脚本postrotate 指定转储后的动作

/usr/bin/killall -HUP syslogd

用来重新初始化系统日志守护程序 syslogd

/usr/bin/chattr +a /var/log/messages

重新为 /var/log/messages 文件指定“只追加”属性，这样防治程序员或用户覆盖此文件。

最后的 endscript 用于结束 postrotate 部分的脚本

3、logrotate 的运行分为三步：
判断系统的日志文件，建立转储计划以及参数，通过cron daemon 运行下面的代码是 Red Hat Linux 缺省的crontab 来每天运行logrotate。

#/etc/cron.daily/logrotate
#! /bin/sh

/usr/sbin/logrotate /etc/logrotate.conf

4、/var/log/messages 不能产生的原因：
这种情况很少见，但是如果你把/etc/services 中的 514/UDP 端口关掉的话，这个文件就不能产生了。

小结：本文通过对Red Hat 系统上典型的logrotate 配置例子的介绍，详细说明了logrotate 程序的应用方法。希望对所有Linux 系统管理员有所帮助。管理好，分析好日志文件是系统安全的第一步，在以后的文章里还会介绍另外一个检查日志的好东东 logcheck。

名　　称：cat
使用权限：所有使用者
使用方式：cat [-AbeEnstTuv] [--help] [--version] fileName
说　　明：把档案串连接后传到基本输出（屏幕或加 > fileName 到另一个档案）
参　　数：

-n 或 –number 由 1 开始对所有输出的行数编号
-b 或 –number-nonblank 和 -n 相似，只不过对于空白行不编号
-s 或 –squeeze-blank 当遇到有连续两行以上的空白行，就代换为一行的空白行
-v 或 –show-nonprinting

范　　例：

cat -n textfile1 > textfile2 把 textfile1 的档案内容加上行号后输入 textfile2 这个档案里
cat -b textfile1 textfile2 >> textfile3 把 textfile1 和 textfile2 的档案内容加上行号（空白行不加）之后将内容附加到 textfile3

名　　称 : cd
使用权限 : 所有使用者
使用方式 : cd [dirName]
说　　明 : 变换工作目录至 dirName。 其中 dirName 表示法可为绝对路径或相对路径。若目录名称省略，则变换至使用者的 home directory (也就是刚 login 时所在的目录)。另外，”~” 也表示为 home directory 的意思，”.” 则是表示目前所在的目录，”..” 则表示目前目录位置的上一层目录。

范　　例 :
跳到 /usr/bin/ :
cd /usr/bin

跳到自己的 home directory :
cd ~

跳到目前目录的上上两层 :
cd ../..
指令名称 : chmod
使用权限 : 所有使用者
使用方式 : chmod [-cfvR] [--help] [--version] mode file…
说　　明 : Linux/Unix 的档案存取权限分为三级 : 档案拥有者、群组、其他。利用 chmod 可以藉以控制档案如何被他人所存取。

参　　数 :
mode : 权限设定字串，格式如下 : [ugoa...][[+-=][rwxX]…][,...]，其中u 表示该档案的拥有者，g 表示与该档案的拥有者属于同一个群体(group)者，o 表示其他以外的人，a 表示这三者皆是。

+ 表示增加权限、- 表示取消权限、= 表示唯一设定权限。
r 表示可读取，w 表示可写入，x 表示可执行，X 表示只有当该档案是个子目录或者该档案已经被设定过为可执行。
-c : 若该档案权限确实已经更改，才显示其更改动作
-f : 若该档案权限无法被更改也不要显示错误讯息
-v : 显示权限变更的详细资料
-R : 对目前目录下的所有档案与子目录进行相同的权限变更(即以递回的方式逐个变更)
–help : 显示辅助说明
–version : 显示版本

范　　例 :
将档案 file1.txt 设为所有人皆可读取 :
chmod ugo+r file1.txt

将档案 file1.txt 设为所有人皆可读取 :
chmod a+r file1.txt

将档案 file1.txt 与 file2.txt 设为该档案拥有者，与其所属同一个群体者可写入，但其他以外的人则不可写入 :
chmod ug+w,o-w file1.txt file2.txt

将 ex1.py 设定为只有该档案拥有者可以执行 :
chmod u+x ex1.py

将目前目录下的所有档案与子目录皆设为任何人可读取 :
chmod -R a+r *

此外chmod也可以用数字来表示权限如 chmod 777 file

语法为：chmod abc file

其中a,b,c各为一个数字，分别表示User、Group、及Other的权限。

r=4，w=2，x=1

若要rwx属性则4+2+1=7；

若要rw-属性则4+2=6；

若要r-x属性则4+1=7。

范例：

chmod a=rwx file

和

chmod 777 file

效果相同

chmod ug=rwx,o=x file

和

chmod 771 file

效果相同

若用chmod 4755 filename可使此程式具有root的权限

指令名称 : chown
使用权限 : root
使用方式 : chmod [-cfhvR] [--help] [--version] user[:group] file…
说　　明 : Linux/Unix 是多人多工作业系统，所有的档案皆有拥有者。利用chown 可以将档案的拥有者加以改变。一般来说，这个指令只有是由系统管理者(root)所使用，一般使用者没有权限可以改变别人的档案拥有者，也没有权限可以自己的档案拥有者改设为别人。只有系统管理者(root)才有这样的权限。

参　　数 :
user : 新的档案拥有者的使用者
IDgroup : 新的档案拥有者的使用者群体(group)
-c : 若该档案拥有者确实已经更改，才显示其更改动作
-f : 若该档案拥有者无法被更改也不要显示错误讯息
-h : 只对于连结(link)进行变更，而非该 link 真正指向的档案
-v : 显示拥有者变更的详细资料
-R : 对目前目录下的所有档案与子目录进行相同的拥有者变更(即以递回的方式逐个变更)
–help : 显示辅助说明
–version : 显示版本

范　　例 :

将档案 file1.txt 的拥有者设为 users 群体的使用者 jessie :
chown jessie:users file1.txt

将目前目录下的所有档案与子目录的拥有者皆设为 users 群体的使用者 lamport :
chmod -R lamport:users *
名　　称：cp
使用权限：所有使用者
使用方式：

cp [options] source dest
cp [options] source… directory

说　　明：将一个档案拷贝至另一档案，或将数个档案拷贝至另一目录。

参　　数：

-a 尽可能将档案状态、权限等资料都照原状予以复制。
-r 若 source 中含有目录名，则将目录下之档案亦皆依序拷贝至目的地。
-f 若目的地已经有相同档名的档案存在，则在复制前先予以删除再行复制。

范　　例：

将档案 aaa 复制(已存在)，并命名为 bbb :
cp aaa bbb

将所有的C语言程式拷贝至 Finished 子目录中 :
cp *.c Finished
名　　称：cut
使用权限：所有使用者
用　　法：cut -cnum1-num2 filename
说　　明：显示每行从开头算起 num1 到 num2 的文字。
范　　例：

shell>> cat example
test2
this is test1
shell>> cut -c0-6 example ## print 开头算起前 6 个字元
test2
this i
名　　称 : find
用　　法 : find
使用说明 :

将档案系统内符合 expression 的档案列出来。你可以指要档案的名称、类别、时间、大小、权限等不同资讯的组合，只有完全相符的才会被列出来。

find 根据下列规则判断 path 和 expression，在命令列上第一个 – ( ) , ! 之前的部份为 path，之后的是 expression。如果 path 是空字串则使用目前路径，如果 expression 是空字串则使用 -print 为预设 expression
expression 中可使用的选项有二三十个之多，在此只介绍最常用的部份。

-mount, -xdev : 只检查和指定目录在同一个档案系统下的档案，避免列出其它档案系统中的档案
-amin n : 在过去 n 分钟内被读取过
-anewer file : 比档案 file 更晚被读取过的档案
-atime n : 在过去 n 天过读取过的档案
-cmin n : 在过去 n 分钟内被修改过
-cnewer file :比档案 file 更新的档案
-ctime n : 在过去 n 天过修改过的档案
-empty : 空的档案-gid n or -group name : gid 是 n 或是 group 名称是 name
-ipath p, -path p : 路径名称符合 p 的档案，ipath 会忽略大小写
-name name, -iname name : 档案名称符合 name 的档案。iname 会忽略大小写
-size n : 档案大小 是 n 单位，b 代表 512 位元组的区块，c 表示字元数，k 表示 kilo bytes，w 是二个位元组。
-type c : 档案类型是 c 的档案。

d: 目录

c: 字型装置档案

b: 区块装置档案

p: 具名贮列

f: 一般档案

l: 符号连结

s: socket

-pid n : process id 是 n 的档案
你可以使用 ( ) 将运算式分隔，并使用下列运算。

exp1 -and exp2

! expr

-not expr

exp1 -or exp2

exp1, exp2

范例:

将目前目录及其子目录下所有延伸档名是 c 的档案列出来。

# find . -name “*.c”

将目前目录其其下子目录中所有一般档案列出

# find . -ftype f

将目前目录及其子目录下所有最近 20 分钟内更新过的档案列出

# find . -ctime -20

名　　称：less
使用权限：所有使用者
使用方式：

less [Option] filename

说　　明：

less 的作用与 more 十分相似，都可以用来浏览文字档案的内容，不同的是 less 允许使用者往回卷动
以浏览已经看过的部份，同时因为 less 并未在一开始就读入整个档案，因此在遇上大型档案的开启时，会比一般的文书编辑器(如 vi)来的快速。

指令名称 : ln
使用权限 : 所有使用者
使用方式 : ln [options] source dist，其中 option 的格式为 :

[-bdfinsvF] [-S backup-suffix] [-V {numbered,existing,simple}]
[--help] [--version] [--]

说　　明 : Linux/Unix 档案系统中，有所谓的连结(link)，我们可以将其视为档案的别名，而连结又可分为两种 : 硬连结(hard link)与软连结(symbolic link)，硬连结的意思是一个档案可以有多个名称，而软连结的方式则是产生一个特殊的档案，该档案的内容是指向另一个档案的位置。
硬连结是存在同一个档案系统中，而软连结却可以跨越不同的档案系统。

ln source dist 是产生一个连结(dist)到 source，至于使用硬连结或软链结则由参数决定。

不论是硬连结或软链结都不会将原本的档案复制一份，只会占用非常少量的磁碟空间。

-f : 链结时先将与 dist 同档名的档案删除
-d : 允许系统管理者硬链结自己的目录
-i : 在删除与 dist 同档名的档案时先进行询问
-n : 在进行软连结时，将 dist 视为一般的档案
-s : 进行软链结(symbolic link)
-v : 在连结之前显示其档名
-b : 将在链结时会被覆写或删除的档案进行备份

-S SUFFIX : 将备份的档案都加上 SUFFIX 的字尾
-V METHOD : 指定备份的方式
–help : 显示辅助说明
–version : 显示版本

范例 :

将档案 yy 产生一个 symbolic link : zz
ln -s yy zz

将档案 yy 产生一个 hard link : zz
ln yy xx
名　　称：locate
使用权限：所有使用者
使用方式： locate [-q] [-d ] [--database=]

locate [-r ] [--regexp=]
locate [-qv] [-o ] [--output=]
locate [-e ] [-f ] <[-l ] [-c]
<[-U ] [-u]>
locate [-Vh] [--version] [--help]

说　　明：

locate 让使用者可以很快速的搜寻档案系统内是否有指定的档案。其方法是先建立一个包括系统内所有档案名称及路径的资料库，之后当寻找时就只需查询这个资料库，而不必实际深入档案系统之中了。
在一般的 distribution 之中，资料库的建立都被放在 contab 中自动执行。一般使用者在使用时只要用

# locate your_file_name

的型式就可以了。

参　　数：

-u

-U

建立资料库，-u 会由根目录开始，-U 则可以指定开始的位置。

-e

将排除在寻找的范围之外。

-l

如果 是 1．则启动安全模式。在安全模式下，使用者不会看到权限无法看

到的档案。这会始速度减慢，因为 locate 必须至实际的档案系统中取得

档案的权限资料。

-f

将特定的档案系统排除在外，例如我们没有到理要把 proc 档案系统中的

档案放在资料库中。

-q

安静模式，不会显示任何错误讯息。

-n

至多显示 个输出。

-r

使用正规运算式 做寻找的条件。

-o

指定资料库存的名称。

-d

指定资料库的路径

-h

显示辅助讯息

-v

显示更多的讯息

-V

显示程式的版本讯息 范例：

locate chdrv : 寻找所有叫 chdrv 的档案

locate -n 100 a.out : 寻找所有叫 a.out 的档案，但最多只显示 100

个

locate -u : 建立资料库
名　　称 : ls
使用权限 : 所有使用者
使用方式 : ls [-alrtAFR] [name...]
说　　明 : 显示指定工作目录下之内容（列出目前工作目录所含之档案及子目录)。

-a 显示所有档案及目录 (ls内定将档案名或目录名称开头为”.”的视为隐藏档，不会列出)
-l 除档案名称外，亦将档案型态、权限、拥有者、档案大小等资讯详细列出
-r 将档案以相反次序显示(原定依英文字母次序)
-t 将档案依建立时间之先后次序列出
-A 同 -a ，但不列出 “.” (目前目录) 及 “..” (父目录)
-F 在列出的档案名称后加一符号；例如可执行档则加 “*”, 目录则加 “/”
-R 若目录下有档案，则以下之档案亦皆依序列出

范　　例：

列出目前工作目录下所有名称是 s 开头的档案，愈新的排愈后面 :
ls -ltr s*

将 /bin 目录以下所有目录及档案详细资料列出 :
ls -lR /bin

列出目前工作目录下所有档案及目录；目录于名称后加 “/”, 可执行档于名称后加 “*” :
ls -AF

名　　称：more
使用权限：所有使用者
使用方式：more [-dlfpcsu] [-num] [+/pattern] [+linenum] [fileNames..]

说　　明：类似 cat ，不过会以一页一页的显示方便使用者逐页阅读，而最基本的指令就是按空白键（space）就往下一页显示，按 b 键就会往回（back）一页显示，而且还有搜寻字串的功能（与 vi 相似），使用中的说明文件，请按 h 。

参　　数：-num 一次显示的行数

-d 提示使用者，在画面下方显示 [Press space to continue, q to quit.] ，如果使用者按错键，则会显示 [Press h for instructions.] 而不是哔声

-l 取消遇见特殊字元 ^L（送纸字元）时会暂停的功能
-f 计算行数时，以实际上的行数，而非自动换行过后的行数（有些单行字数太长的会被扩展为两行或两行以上）
-p 不以卷动的方式显示每一页，而是先清除萤幕后再显示内容
-c 跟 -p 相似，不同的是先显示内容再清除其他旧资料
-s 当遇到有连续两行以上的空白行，就代换为一行的空白行
-u 不显示下引号 （根据环境变数 TERM 指定的 terminal 而有所不同）
+/ 在每个档案显示前搜寻该字串（pattern），然后从该字串之后开始显示
+num 从第 num 行开始显示
fileNames 欲显示内容的档案，可为复数个数

范　　例：

more -s testfile 逐页显示 testfile 之档案内容，如有连续两行以上空白行则以一行空白行显示。

more +20 testfile 从第 20 行开始显示 testfile 之档案内容。
名　　称：mv
使用权限：所有使用者
使用方式：

mv [options] source dest

mv [options] source… directory

说　　明：将一个档案移至另一档案，或将数个档案移至另一目录。
参　　数：-i 若目的地已有同名档案，则先询问是否覆盖旧档。

范　　例：

将档案 aaa 更名为 bbb :
mv aaa bbb

将所有的C语言程式移至 Finished 子目录中 :
mv -i *.c

名　　称：rm
使用权限：所有使用者
使用方式：rm [options] name…
说　　明：删除档案及目录。
选　　项：
-i 删除前逐一询问确认。
-f 即使原档案属性设为唯读，亦直接删除，无需逐一确认。
-r 将目录及以下之档案亦逐一删除。

范　　例：删除所有C语言程式档；删除前逐一询问确认 。

rm -i *.c

将 Finished 子目录及子目录中所有档案删除 :

rm -r Finished

名　　称：rmdir
使用权限：于目前目录有适当权限的所有使用者
使用方式：rmdir [-p] dirName
说　　明：删除空的目录。
参　　数：
-p 是当子目录被删除后使它也成为空目录的话，则顺便一并删除。

范　　例：
将工作目录下，名为 AAA 的子目录删除 :

rmdir AAA

在工作目录下的 BBB 目录中，删除名为 Test 的子目录。若 Test 删除后

，BBB 目录成为空目录，则 BBB 亦予删除。

rmdir -p BBB/Test

名　　称：split
使用权限：所有使用者
使用方式：split [OPTION] [INPUT [PREFIX]]

说　　明：将一个档案分割成数个。而从 INPUT 分割输出成固定大小的档

案，其档名依序为 PREFIXaa, PREFIXab…；PREFIX 预设值为 `x。若没

有 INPUT 档或为 `-，则从标准输入读进资料。

选　　项：
-b, –bytes=SIZE
 SIZE 值为每一输出档案的大小，单位为 byte。
-C, –line-bytes=SIZE
 每一输出档中，单行的最大 byte 数。
-l, –lines=NUMBER
 NUMBER 值为每一输出档的列数大小。
-NUMBER
 与 -l NUMBER 相同。
–verbose
 于每个输出档被开启前，列印出侦错资讯到标准错误输出。
–help
 显示辅助资讯然后离开。
–version
 列出版本资讯然后离开。
 SIZE 可加入单位: b 代表 512， k 代表 1K， m 代表 1 Meg。

范　　例：
PostgresSQL 大型资料库备份与回存：
因 Postgres 允许表格大过你系统档案的最大容量，所以要将表格 dump

到单一的档案可能会有问题，使用 split进行档案分割。

% pg_dump dbname | split -b 1m – filename.dump.

重新载入

% createdb dbname
% cat filename.dump.* | pgsql dbname
名　　称：touch
使用权限：所有使用者
使用方式：

touch [-acfm]
[-r reference-file] [--file=reference-file]
[-t MMDDhhmm[[CC]YY][.ss]]
[-d time] [--date=time] [--time={atime,access,use,mtime,modify}]
[--no-create] [--help] [--version]
file1 [file2 ...]

说明：

touch 指令改变档案的时间记录。 ls -l 可以显示档案的时间记录。

参数：
a 改变档案的读取时间记录。
m 改变档案的修改时间记录。
c 假如目的档案不存在，不会建立新的档案。与 –no-create 的效果一样

。
f 不使用，是为了与其他 unix 系统的相容性而保留。
r 使用参考档的时间记录，与 –file 的效果一样。
d 设定时间与日期，可以使用各种不同的格式。
t 设定档案的时间记录，格式与 date 指令相同。
–no-create 不会建立新档案。
–help 列出指令格式。
–version 列出版本讯息。

范例：
最简单的使用方式，将档案的时候记录改为现在的时间。若档案不存在，

系统会建立一个新的档案。

touch file
touch file1 file2

将 file 的时间记录改为 5 月 6 日 18 点 3 分，公元两千年。时间的格

式可以参考 date 指令，至少需输入 MMDDHHmm ，就是月日时与分。

touch -c -t 05061803 file
touch -c -t 050618032000 file

将 file 的时间记录改变成与 referencefile 一样。

touch -r referencefile file

将 file 的时间记录改成 5 月 6 日 18 点 3 分，公元两千年。时间可以

使用 am, pm 或是 24 小时的格式，日期可以使用其他格式如 6 May 2000

。

touch -d “6:03pm” file
touch -d “05/06/2000″ file
touch -d “6:03pm 05/06/2000″ file

用日志系统保护Linux安全

Linux系统中的日志子系统对于系统安全来说非常重要，它记录了系统每天发生的各种各样的事情，包括那些用户曾经或者正在使用系统，可以通过日志来检查错误发生的原因，更重要的是在系统受到黑客攻击后，日志可

以记录下攻击者留下的痕迹，通过查看这些痕迹，系统管理员可以发现黑客攻击的某些手段以及特点，从而能够进行处理工作，为抵御下一次攻击做好准备。
在Linux系统中，有三类主要的日志子系统:
● 连接时间日志: 由多个程序执行，把记录写入到/var/log/wtmp和/var/run/utmp，login等程序会更新wtmp和utmp文件，使系统管理员能够跟踪谁在何时登录到系统。
● 进程统计: 由系统内核执行，当一个进程终止时，为每个进程往进程统计文件（pacct或acct）中写一个记录。进程统计的目的是为系统中的基本服务提供命令使用统计。
● 错误日志: 由syslogd（8）守护程序执行，各种系统守护进程、用户程序和内核通过syslogd（3）守护程序向文件/var/log/messages报告值得注意的事件。另外有许多Unix程序创建日志。像HTTP和FTP这样提供网络服务的服务器也保持详细的日志。
Linux下日志的使用
1．基本日志命令的使用
utmp、wtmp日志文件是多数Linux日志子系统的关键，它保存了用户登录进入和退出的记录。有关当前登录用户的信息记录在文件utmp中; 登录进入和退出记录在文件wtmp中; 数据交换、关机以及重启的机器信息也都记录在wtmp文件中。所有的记录都包含时间戳。时间戳对于日志来说非常重要，因为很多攻击行为分析都是与时间有极大关系的。这些文件在具有大量用户的系统中增长十分迅速。例如wtmp文件可以无限增长，除非定期截取。许多系统以一天或者一周为单位把wtmp配置成循环使用。它通常由cron运行的脚本来修改，这些脚本重新命名并循环使用wtmp文件。
utmp文件被各种命令文件使用，包括who、w、users和finger。而wtmp文件被程序last和ac使用。 但它们都是二进制文件，不能被诸如tail命令剪贴或合并（使用cat命令）。用户需要使用who、w、users、last和ac来使用这两个文件包含的信息。具体用法如下:
who命令: who命令查询utmp文件并报告当前登录的每个用户。Who的缺省输出包括用户名、终端类型、登录日期及远程主机。使用该命令，系统管理员可以查看当前系统存在哪些不法用户，从而对其进行审计和处理。例如: 运行who命令显示如下:
[root@working]# who
root pts/0 May 9 21:11 (10.0.2.128)
root pts/1 May 9 21:16 (10.0.2.129)
lhwen pts/7 May 9 22:03 (10.0.2.27)
如果指明了wtmp文件名，则who命令查询所有以前的记录。例如命令who /var/log/wtmp将报告自从wtmp文件创建或删改以来的每一次登录。
日志使用注意事项
系统管理人员应该提高警惕，随时注意各种可疑状况，并且按时和随机地检查各种系统日志文件，包括一般信息日志、网络连接日志、文件传输日志以及用户登录日志等。在检查这些日志时，要注意是否有不合常理的时间记载。例如:
■ 用户在非常规的时间登录;
■ 不正常的日志记录，比如日志的残缺不全或者是诸如wtmp这样的日志文件无故地缺少了中间的记录文件;
■ 用户登录系统的IP地址和以往的不一样;
■ 用户登录失败的日志记录，尤其是那些一再连续尝试进入失败的日志记录;
■ 非法使用或不正当使用超级用户权限su的指令;
■ 无故或者非法重新启动各项网络服务的记录。
另外, 尤其提醒管理人员注意的是: 日志并不是完全可靠的。高明的黑客在入侵系统后，经常会打扫现场。所以需要综合运用以上的系统命令，全面、综合地进行审查和检测，切忌断章取义，否则很难发现入侵或者做出错误的判断。
users命令: users用单独的一行打印出当前登录的用户，每个显示的用户名对应一个登录会话。如果一个用户有不止一个登录会话，那他的用户名将显示相同的次数。运行该命令将如下所示:
[root@working]# users
root root //只登录了一个Root权限的用户
last命令: last命令往回搜索wtmp来显示自从文件第一次创建以来登录过的用户。系统管理员可以周期性地对这些用户的登录情况进行审计和考核，从而发现其中存在的问题，确定不法用户，并进行处理。运行该命令，如下所示:
[root@working]# last
devin pts/1 10.0.2.221 Mon Jul 21 15:08-down (8+17:46)
devin pts/1 10.0.2.221 Mon Jul 21 14:42 – 14:53 (00:11)
changyi pts/2 10.0.2.141 Mon Jul 21 14:12 – 14:12 (00:00)
devin pts/1 10.0.2.221 Mon Jul 21 12:51 – 14:40 (01:49)
reboot system boot 2.4.18 Fri Jul 18 15:42 (11+17:13)
reboot system boot 2.4.18 Fri Jul 18 15:34 (00:04)
reboot system boot 2.4.18 Fri Jul 18 15:02 (00:36)
读者可以看到，使用上述命令显示的信息太多，区分度很小。所以，可以通过指明用户来显示其登录信息即可。例如: 使用last devin来显示devin的历史登录信息，则如下所示:
[root@working]# last devin
devin pts/1 10.0.2.221 Mon Jul 21 15:08 – down (8+17:46)
devin pts/1 10.0.2.221 Mon Jul 21 14:42 – 14:53 (00:11)
ac命令:ac命令根据当前的/var/log/wtmp文件中的登录进入和退出来报告用户连接的时间（小时），如果不使用标志，则报告总的时间。另外，可以加一些参数，例如，last -t 7表示显示上一周的报告。
lastlog命令 lastlog文件在每次有用户登录时被查询。可以使用lastlog命令检查某特定用户上次登录的时间，并格式化输出上次登录日志/var/log/lastlog的内容。它根据UID排序显示登录名、端口号（tty）和上次登录时间。如果一个用户从未登录过，lastlog显示“**Never logged**”。注意需要以root身份运行该命令。运行该命令如下所示:
[root@working]# lastlog
Username Port From Latest
root pts/1 10.0.2.129 二 5月 10 10:13:26 +0800 2005
opal pts/1 10.0.2.129 二 5月 10 10:13:26 +0800 2005
2．使用Syslog设备
Syslog已被许多日志函数采纳，被用在许多保护措施中，任何程序都可以通过syslog 记录事件。Syslog可以记录系统事件，可以写到一个文件或设备中，或给用户发送一个信息。它能记录本地事件或通过网络记录另一个主机上的事件。
Syslog设备核心包括一个守护进程（/etc/syslogd守护进程）和一个配置文件（/etc/syslog.conf配置文件）。通常情况下，多数syslog信息被写到/var/adm或/var/log目录下的信息文件中（messages.*）。一个典型的syslog记录包括生成程序的名字和一个文本信息。它还包括一个设备和一个优先级范围。
系统管理员通过使用syslog.conf文件，可以对生成的日志的位置及其相关信息进行灵活配置，满足应用的需要。例如，如果想把所有邮件消息记录到一个文件中，则做如下操作:
#Log all the mail messages in one place
mail.* /var/log/maillog
其他设备也有自己的日志。UUCP和news设备能产生许多外部消息。它把这些消息存到自己的日志（/var/log/spooler）中并把级别限为\”err\”或更高。例如:
# Save news errors of level crit and higher in a special file.
uucp,news.crit /var/log/spooler
当一个紧急消息到来时，可能想让所有的用户都得到。也可能想让自己的日志接收并保存。
#Everybody gets emergency messages， plus log them on anther machine
*.emerg *
*.emerg @linuxaid.com.cn
用户可以在一行中指明所有的设备。下面的例子把info或更高级别的消息送到/var/log/messages，除了mail以外。级别\”none\”禁止一个设备:
#Log anything（except mail）of level info or higher
#Don\&apost log private authentication messages!
*.info:mail.none;autHPriv.none /var/log/messages
在有些情况下，可以把日志送到打印机，这样网络入侵者怎么修改日志都不能清除入侵的痕迹。因此，syslog设备是一个攻击者的显著目标，破坏了它将会使用户很难发现入侵以及入侵的痕迹，因此要特别注意保护其守护进程以及配置文件。
3．程序日志的使用
许多程序通过维护日志来反映系统的安全状态。su命令允许用户获得另一个用户的权限，所以它的安全很重要，它的文件为sulog，同样的还有sudolog。另外，诸如Apache等Http的服务器都有两个日志: access_log（客户端访问日志）以及error_log（服务出错日志）。 FTP服务的日志记录在xferlog文件当中，Linux下邮件传送服务（sendmail）的日志一般存放在maillog文件当中。
程序日志的创建和使用在很大程度上依赖于用户的良好编程习惯。对于一个优秀的程序员来说，任何与系统安全或者网络安全相关的程序的编写，都应该包含日志功能，这样不但便于程序的调试和纠错，而且更重要的是能够给程序的使用方提供日志的分析功能，从而使系统管理员能够较好地掌握程序乃至系统的运行状况和用户的行为，及时采取行动，排除和阻断意外以及恶意的入侵行为。