КАТЕГОРИИ: Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748) |
Аудит событий и его безопасность
После этого из другой консоли командой ps -ef можно наблюдать, что процесс man был запущен пользователем root. Продолжает демаскировать ложный процесс только имя консоли, из которой он запущен. Хитрость здесь заключается еще и в том, что второй символ в имени man вводится в русскоязычной раскладке. В противном случае при вводе команды man было бы запущено настоящее справочное руководство, что в планы пользователя вовсе не входит. Еще один очевидный демаскирующий признак, отображаемый утилитами ps и top, – имя пользователя, запустившего процесс. Как уже отмечалось выше, запуск пользователем утилиты passwd или su «приписывается» владельцу этих файлов root. Файлы с установленным битом SUID, принадлежащие администратору, находятся под его контролем и, как правило, не могут быть использованы для деструктивных действий. Но пользователь может попробовать написать простой командный файл и присвоить ему эффективное право запуска от имени другого пользователя. Пользователь ожидает, что в списке процессов такая команда отобразится как запущенная другим лицом. Проверим, так ли это. Зарегистрируемся в двух консолях с правами обычных пользователей (допустим, их имена john и braun). Пользователь braun создает в каталоге /tmp командный файл с именем no следующего содержания: #! /bin/bash yes 12345 > /dev/null & Затем он командой chmod присваивает файлу /tmp/no права доступа 4777. Пробный запуск утилиты ее владельцем braun показывает, что она работоспособна. Аналогично пробуем запустить утилиту /tmp/no от имени пользователя john. После этого с правами root наблюдаем за процессами и видим, что замысел не удался. В колонке USER отображается пользователь john, и имя программы фиксируется не no, а yes. Следовательно, утилиты для отображения процессов не подвержены таким простым способам обмана.
Следователю и эксперту вряд ли стоит рассчитывать на то, что пользователь, использующий компьютерную систему в своей противоправной деятельности, станет протоколировать свои действия. Наоборот, следует ожидать, что он постарается избавиться от уличающих его сведений. Однако система по умолчанию сама фиксирует многие важные события, которые сохраняются в так называемых системных журналах. Далеко не все администраторы в достаточной степени осведомлены о возможностях протоколирования событий, пользователь системы часто о таких возможностях собственного компьютера может и не подозревать. Интерес для администратора могут представлять файлы протоколов, а также файлы, которые создаются прикладными программами в процессе своего функционирования, но не являются объектом работы пользователя или протоколом работы прикладной программы. Файлы аудита могут иметь расширение .log, а системные файлы аудита обычно расширения не имеют. Основные файлы системных протоколов (журналы) ОС Linux находятся в каталоге /var/log. Информация о функционировании системы и работе пользователей записывается системными программами в определённые файлы этого каталога. Большей частью журналы представляют собой текстовые файлы, в которые информация записывается построчно и последовательно. Некоторые файлы аудита являются двоичными и имеют специальную структуру, что требует для их просмотра использования специальных утилит, интерпретирующих содержимое этих файлов в удобный для просмотра вид. Каталог /var/log обычно содержит следующие основные файлы аудита: · cron – текстовый файл, содержащий информацию о фактах выполнения пользователями периодических заданий; · debug – текстовый файл, содержащий отладочную информацию ядра системы и некоторых системных или прикладных программ; · faillog – двоичный файл, содержащий информацию о неудачных попытках входа в систему (утилита для работы с этим файлом также называется faillog); · lastlog – двоичный файл, содержащий информацию о последних входах в систему (утилита для работы с этим файлом – last); · maillog – текстовый файл, содержащий информацию о работе почтовой системы sendmail+procmail; · messages – текстовый файл, содержащий протоколируемую информацию о системе и процессах категории выше info и ниже warn (об уровнях значимости см. ниже); · syslog – текстовый файл, содержащий протоколируемую информацию о системе и процессах категории warn; · secure – текстовый файл, содержащий информацию о попытках получения и использования пользователями полномочий суперпользователя, о смене пароля, о регистрации и удалении пользователей и др.; · wtmp – двоичный файл, содержащий информацию о всех регистрациях пользователей в системе (утилита для работы с этим файлом – last). Наблюдение за событиями и их протоколирование производится с помощью системы регистрации syslog. Она состоит из трех компонентов: · демона syslogd, который собственно отвечает за регистрацию событий, · пользовательской программы logger, · библиотечных функций openlog(), syslog() и closelog(), которые обслуживают службу регистрации сообщений. Детали, связанные с использованием программы logger и вышеназванных библиотечных функций, с достаточной полнотой изложены в [1, 10]. Демон syslogd запускается автоматически процессом init из загрузочных сценариев и работает непрерывно до останова системы. Программ, обеспечивающих информацией службу регистрации, довольно много. К ним относятся такие известные программы, как su, sudo, getty, passwd, inetd, crond, login, halt и др. Источником сообщений ядра, кроме того, является файл специального устройства /dev/klog или /dev/log. Для отправки сообщения в файл протокола программа использует библиотечную функцию syslog() языка Си, а в сценариях, написанных на языке интерпретатора команд, используется утилита logger. Демон syslogd читает эти сообщения, фильтрует их и помещает в журнальные файлы. Фильтрующие параметры содержатся в текстовом конфигурационном файле /etc/syslog.conf. Файл /etc/syslog.conf отличается простым форматом и состоит из строк, включающих два поля, разделенные одним или несколькими пробелами или знаками табуляции:
Дата добавления: 2015-03-31; Просмотров: 499; Нарушение авторских прав?; Мы поможем в написании вашей работы! Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет |