Аудит событий и его безопасность

После этого из другой консоли командой ps -ef можно наблюдать, что процесс man был запущен пользователем root. Продолжает демаскировать ложный процесс только имя консоли, из которой он запущен.

Хитрость здесь заключается еще и в том, что второй символ в имени man вводится в русскоязычной раскладке. В противном случае при вводе команды man было бы запущено настоящее справочное руководство, что в планы пользователя вовсе не входит.

Еще один очевидный демаскирующий признак, отображаемый утилитами ps и top, – имя пользователя, запустившего процесс. Как уже отмечалось выше, запуск пользователем утилиты passwd или su «приписывается» владельцу этих файлов root. Файлы с установленным битом SUID, принадлежащие администратору, находятся под его контролем и, как правило, не могут быть использованы для деструктивных действий. Но пользователь может попробовать написать простой командный файл и присвоить ему эффективное право запуска от имени другого пользователя. Пользователь ожидает, что в списке процессов такая команда отобразится как запущенная другим лицом. Проверим, так ли это.

Зарегистрируемся в двух консолях с правами обычных пользователей (допустим, их имена john и braun). Пользователь braun создает в каталоге /tmp командный файл с именем no следующего содержания:

#! /bin/bash

yes 12345 > /dev/null &

Затем он командой chmod присваивает файлу /tmp/no права доступа 4777. Пробный запуск утилиты ее владельцем braun показывает, что она работоспособна. Аналогично пробуем запустить утилиту /tmp/no от имени пользователя john. После этого с правами root наблюдаем за процессами и видим, что замысел не удался. В колонке USER отображается пользователь john, и имя программы фиксируется не no, а yes. Следовательно, утилиты для отображения процессов не подвержены таким простым способам обмана.

Следователю и эксперту вряд ли стоит рассчитывать на то, что пользователь, использующий компьютерную систему в своей противоправной деятельности, станет протоколировать свои действия. Наоборот, следует ожидать, что он постарается избавиться от уличающих его сведений. Однако система по умолчанию сама фиксирует многие важные события, которые сохраняются в так называемых системных журналах. Далеко не все администраторы в достаточной степени осведомлены о возможностях протоколирования событий, пользователь системы часто о таких возможностях собственного компьютера может и не подозревать.

Интерес для администратора могут представлять файлы протоколов, а также файлы, которые создаются прикладными программами в процессе своего функционирования, но не являются объектом работы пользователя или протоколом работы прикладной программы. Файлы аудита могут иметь расширение .log, а системные файлы аудита обычно расширения не имеют.

Основные файлы системных протоколов (журналы) ОС Linux находятся в каталоге /var/log. Информация о функционировании системы и работе пользователей записывается системными программами в определённые файлы этого каталога. Большей частью журналы представляют собой текстовые файлы, в которые информация записывается построчно и последовательно. Некоторые файлы аудита являются двоичными и имеют специальную структуру, что требует для их просмотра использования специальных утилит, интерпретирующих содержимое этих файлов в удобный для просмотра вид.

Каталог /var/log обычно содержит следующие основные файлы аудита:

· cron – текстовый файл, содержащий информацию о фактах выполнения пользователями периодических заданий;

· debug – текстовый файл, содержащий отладочную информацию ядра системы и некоторых системных или прикладных программ;

· faillog – двоичный файл, содержащий информацию о неудачных попытках входа в систему (утилита для работы с этим файлом также называется faillog);

· lastlog – двоичный файл, содержащий информацию о последних входах в систему (утилита для работы с этим файлом – last);

· maillog – текстовый файл, содержащий информацию о работе почтовой системы sendmail+procmail;

· messages – текстовый файл, содержащий протоколируемую информацию о системе и процессах категории выше info и ниже warn (об уровнях значимости см. ниже);

· syslog – текстовый файл, содержащий протоколируемую информацию о системе и процессах категории warn;

· secure – текстовый файл, содержащий информацию о попытках получения и использования пользователями полномочий суперпользователя, о смене пароля, о регистрации и удалении пользователей и др.;

· wtmp – двоичный файл, содержащий информацию о всех регистрациях пользователей в системе (утилита для работы с этим файлом – last).

Наблюдение за событиями и их протоколирование производится с помощью системы регистрации syslog. Она состоит из трех компонентов:

· демона syslogd, который собственно отвечает за регистрацию событий,

· пользовательской программы logger,

· библиотечных функций openlog(), syslog() и closelog(), которые обслуживают службу регистрации сообщений.

Детали, связанные с использованием программы logger и вышеназванных библиотечных функций, с достаточной полнотой изложены в [1, 10].

Демон syslogd запускается автоматически процессом init из загрузочных сценариев и работает непрерывно до останова системы. Программ, обеспечивающих информацией службу регистрации, довольно много. К ним относятся такие известные программы, как su, sudo, getty, passwd, inetd, crond, login, halt и др. Источником сообщений ядра, кроме того, является файл специального устройства /dev/klog или /dev/log. Для отправки сообщения в файл протокола программа использует библиотечную функцию syslog() языка Си, а в сценариях, написанных на языке интерпретатора команд, используется утилита logger. Демон syslogd читает эти сообщения, фильтрует их и помещает в журнальные файлы. Фильтрующие параметры содержатся в текстовом конфигурационном файле /etc/syslog.conf.

Файл /etc/syslog.conf отличается простым форматом и состоит из строк, включающих два поля, разделенные одним или несколькими пробелами или знаками табуляции:

Дата добавления: 2015-03-31; Просмотров: 468; Нарушение авторских прав?; Мы поможем в написании вашей работы!