Студопедия

КАТЕГОРИИ:


Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)

Примеры журнальных сообщений




Регистрация сообщений на центральном сервере

Анализ журналов

Существует два принципиальных подхода к формированию журнальных файлов. В первом случае рекомендуется записывать все или почти все сообщения в один файл, чтобы затем обрабатывать его дополнительными утилитами (swatch или logcheck). Во втором случае рекомендуется разграничить функции журнальных файлов, используя один для хранения аутентификационных сообщения, другой – для внутренних сообщения системы Syslog (средство syslog), третий – для сообщения от средства mail и т.д. Второй подход проще в плане ручной обработки журнальных файлов. Кроме того, можно писать специализированные сценарии для работы с конкретными журнальными файлами.

С точки зрения безопасности нужно настраивать файл /etc/syslog.conf так, чтобы перехватывалась вся информация, необходимая для оповещения администратора о попытках взлома.

После добавления новой записи в файл /etc/syslog.conf имеет смысл протестировать ее с помощью программы /usr/bin/logger.

Централизованная обработка журнальных файлов на сервере упрощает администрирование и повышает безопасность системы. Ключом к повышению безопасности является надежная защита самого сервера.

С точки зрения администрирования для централизованной журнальной регистрации следует выполнить две настройки. Первая связана с конфигурированием системы Syslog на всех компьютерах. Вторая заключается в синхронизации системных часов, чтобы можно было правильно определять очередность журнальных записей.

 

Это последовательность записей о неудачных попытках регистрации в системе через одну и ту же учетную запись. Возможно, имела место попытка взлома. При разных атаках последовательность сообщений будет разной. Сформировать список шаблонов трудно из-за динамической природы атак.

 

 

Это – сообщения о неудачных попытках войти в систему через разные учетные записи.

Главное – заметить похожие ключевые слова или фразы, которые можно использовать для написания сценария, выявляющего попытки взлома. В данном случае в обоих примерах идентификатор процесса одинаков. Таким образом, можно написать сценарий, который обнаруживает записи с ключевой фразой authentication failure и одинаковым идентификатором процесса.




Поделиться с друзьями:


Дата добавления: 2014-12-07; Просмотров: 382; Нарушение авторских прав?; Мы поможем в написании вашей работы!


Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет



studopedia.su - Студопедия (2013 - 2024) год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав! Последнее добавление




Генерация страницы за: 0.009 сек.