Селектор действие

В поле селектор указывается средство (программа, служащая источником сообщений, или потребитель этих сообщений) и уровень значимости этих сообщений:

селектор=средство.уровень

Селекторы могут содержать символ * (все) и ключевое слово none (ничего). Существует более 20 допустимых имен средств, из которых наиболее часто встречаются:

kern ядро;

user пользовательские процессы;

mail почтовые программы;

cron планировщик задач;

mark периодические временные метки;

auth процессы, обеспечивающие авторизацию и безопасность;

daemon демоны;

syslog внутренние сообщения демона syslogd.

Предусмотрено 8 уровней значимости сообщений (в порядке убывания значимости):

emerg экстренные ситуации;

alert срочные ситуации;

crit критические состояния;

err ошибочные состояния;

warning предупреждающие сообщения;

notice необычные сообщения;

info обычная информация;

debug отладочная информация.

Поле селектор может содержать несколько записей, отделенных точкой с запятой, в которых средство может перечисляться через запятую.

В файле syslogd.conf уровень сообщения определяет его минимальную важность для того, чтобы быть зарегистрированным. Так, селектор cron.warning означает, что будут регистрироваться сообщения демона crond с уровнями warning, err, crit, alert и emerg.

Поле действие означает, как следует поступить с сообщением. В этом поле чаще всего указывается имя журнального файла, в который надлежит записать сообщение. Но также можно указать доменное имя или IP-адрес компьютера, в который будет переправлено сообщение, а также имя зарегистрированного пользователя, на консоль которого следует вывести информацию. Символ * предписывает вывод сообщения на экраны всех пользователей. При этом выполнение нескольких действий в одной строке не предусмотрено. Если требуется записать сообщение в файл и одновременно отобразить его в консоли пользователя, необходимо использовать две разные строки.

Необходимо отметить, что файлы, указанные в строках /etc/syslog.conf, заполняются текстовой информацией. В то же время присутствуют и двоичные регистрационные файлы, в частности указанный выше /var/log/wtmp, который непосредственно заполняется программами, ответственными за регистрацию пользователей в системе.

Для администратора важно не только собрать информацию о событиях безопасности, но и вовремя увидеть необходимое. Особым разнообразием записей отличается журнал /var/log/messages. Для облегчения визуального анализа журнала следует использовать возможность цветового форматирования строк [13].

Выборка из содержимого файла /var/log/secure, в который демон syslogd записывал сообщения, генерируемые программами login, su, passwd, useradd и userdel, приведена на рис. 2.10. Формат и содержание записей в дополнительных пояснениях не нуждаются.

Jan 14 11:26:20 server login[2987]: ROOT LOGIN on `tty1'

Jan 14 12:02:23 server useradd[7244]: new user: name=user, uid=1000, gid=100, home=/home/user, shell=/bin/bash

Jan 14 12:02:24 server chfn[7245]: changed user `user' information

Jan 14 12:02:29 server passwd[7246]: password for `user' changed by `root'

Jan 14 17:15:16 server userdel[1193]: delete user `user'

Feb 17 18:53:15 samsung login[3877]: invalid password for `root' on `tty6'

Feb 17 18:53:22 samsung login[3877]: ROOT LOGIN on `tty6'

Feb 26 20:19:17 samsung useradd[6886]: new user: name=petrov, uid=1000, gid=100, home=/home/petrov, shell=

Feb 26 20:19:32 samsung useradd[6896]: new user: name=ivanov, uid=1001, gid=100, home=/home/ivanov, shell=

Feb 26 20:20:11 samsung passwd[6918]: password for `ivanov' changed by `root'

Feb 26 20:20:36 samsung passwd[6937]: password for `petrov' changed by `root'

Feb 26 20:20:50 samsung su[6959]: + pts/2 root-petrov

Feb 26 20:21:46 samsung su[7000]: + pts/2 petrov-ivanov

Mar 22 05:48:47 samsung login[4158]: ROOT LOGIN on `tty1'

Mar 22 06:51:40 samsung su[7323]: + pts/1 root-ivanov

Mar 22 07:17:24 samsung su[8498]: + pts/1 root-ivanov

Mar 22 07:37:08 samsung passwd[8946]: password for `ivanov' changed by `ivanov'

Mar 22 07:54:14 samsung passwd[10205]: password for `ivanov' changed by `root'

Mar 22 08:13:06 samsung su[11070]: + pts/1 ivanov-petrov

Рис. 2.10. Выборка из содержимого файла /var/log/secure

Система обеспечения безопасности в первую очередь зависит от неуязвимости самой службы безопасности. В известной прибаутке говорится: «Не спит собака, дачу охраняет, и я не сплю – собаку стерегу». Эти соображения полностью относятся к системе аудита.

Система протоколирования событий в достаточной мере защищена от неправомерных действий нелояльных пользователей. Завершить или приостановить процесс регистрации событий они не могут, равно как и удалить/модифицировать информацию из журнальных файлов. Но они в состоянии создать фальшивые тревожные сигналы, которые будут зарегистрированы.

Кстати, любопытно, как система осуществляет аудит событий при запуске переименованных утилит типа passwd или su. Если пользователь создаст из своего каталога или каталога /tmp символическую ссылку на утилиту su, а затем запустит ее в целях подбора пароля администратора, то в списке процессов команда отобразится по имени созданной ссылки и как запущенная от имени root. Но система аудита нормально зафиксирует и запишет в журнальный файл запуск пользователем утилиты su под ее настоящим именем.

Дата добавления: 2015-03-31; Просмотров: 419; Нарушение авторских прав?; Мы поможем в написании вашей работы!