Файлы протоколов работы (log-files).

    UNIX хранит системные протоколы в следующих файлах:

/var/log/utmp (/etc/utmp) 
   - запись о вашем  текущем   присутствии в cистеме.  Используется программой who.

/var/log/wtmp (/usr/adm/wtmp)
- протокол всех вхождений в систему. Используется программой last.

/var/log/lastlog (/usr/adm/lastlog)
- Дата последнего  входа в систему каждого пользователя. Выдается на экран программой login.

Это  не  текстовые  файлы  и   отредактировать  их  в vi  руками не получится.  Для  того,  чтобы стереть информацию о своём  присутствии, надо   использовать  специальную программу, написанную для  этих целей.    

Пример такой программы приведён в приложении 7.     

Часто информация о входах пользователей и о некоторых их действиях (например запуск su) выдается на консоль администратору  и в системный лог, который может называться /var/log/messages. Для модификации этого файла можно воспользоваться редактором ed или vi.

Программа CRON.

    Cron - программа,  которая   запускает  другие  задачи  с некоторой периодичностью. Описание этих задач и времени  их  запуска  хранятся в файлах в двух директориях: /usr/lib и /usr/spool/cron.

    Файл crontab в директории /etc или  /usr/lib   описывает  системные задачи, которые надо запускать с  определённой  периодичностью. Формат этого файла:

минуты часы день_месяца месяц_года день_недели коммандная_строка

[0-59] [0-23] [1-31]      [1-12]     [1-7]     [путь, аргументы]

    Пример строки из crontab:

0 1 * * *  /bin/sync

Это значит, что надо запускать команду sync, содержащуюся в директории /bin  в час  ночи каждый день. Команды выполняемые из /usr/lib/crontab получают привилегии root (UID = 0).    

В  каталоге  /usr/spool/crontabs,  содержатся   файлы имеющих имена системных account'ов. Эти файлы содержат поля, сходные с содержащимися в   файле /usr/lib/crontab, но команды из этих  полей   выполняются с ID пользователя с именем, соответствующим имени этого файла. Формат полей аналогичен.

    Обычно с помощью утилиты cron   запускаются  программы, проверяющие целостность  системы:  проверяются   длинна  и/или  контрольные   суммы файлов,  наличие  в  системе   пользователей  с  UID = 0, и т.д. О всех подозрительных явлениях пишется письмо root'у.   При модификации файлов cron пишется протокол в файл /usr/adm/cronlog.    

В некоторых  системах,  например  во   FreeBSD существуют командные файлы /etc/daily,   /etc/weekly  и /etc/monthly. /etc/daily запускается cron'ом   ежедневно  в  2:00am  и  сравнивает   информацию выдаваемую по команде ls -laT для всех  suid'ных  файлов  с информацией   предыдущего дня.

Иными  словами  /etc/daily  сравнивает   /var/log/setuid.today и /var/log/setuid.yesterday.     О   всех  изменениях  посылаются  письмо администратору. Так что, если вы изменили  или   добавили  какой-нибудь SUID'ный файл, не забудьте  сделать  соответствующие   изменения в этих двух файлах.