Раздел: Документация

0 ... 48 49 50 51 52 53 54 ... 125

Доверять записанной в log-файле информации рискованно. Но во многих случаях это все, чем вы будете располагать, пытаясь обнаружить источник проникновения. Если позволяет бюджет, то большинство из этих проблем можно решить, разместив log-файлы на носителе для однократной записи. В последние несколько лет цены на CD-R дисководы и другие подобные устройства значительно упали, поэтому совсем не так уж и сложно убедить начальство в необходимости подобных затрат. Данный метод не защитит вас от записи ложных данных модифицированными копиями программ. В результате вы столкнетесь с серьезной проблемой, если хакеру удастся заменить важные системные программы, выполняющие запись в log-файлы. Но такой подход не позволит нарушителю отредактировать log-файлы и устранить следы своего проникновения в сеть.

Обеспечение безопасности - важная задача. Ее не следует поручать одному человеку. Чтобы справиться с проблемой усталости при просмотре log-файлов, полезно сделать следующее. Во-первых, автоматизировать процесс при помощи средств для поиска и упорядочения информации из log-файлов. Во-вторых, распределить обязанности по просмотру log-файлов между несколькими сотрудниками, которым необходимо меняться каждые несколько дней, чтобы исключить фактор усталости. Конечно же, вы, как администратор, должны лично периодически проверять процесс сбора и просмотра информации. Когда один человек отвечает за просмотр важной информации, это само по себе создает потенциальную проблему безопасности. Лучше, чтобы ответственность ложилась не на одного, а на нескольких сотрудников.

Разумнее создавать большие log-файлы и записывать в них широкий диапазон различных событий, чем отбирать лишь те события, которые будут, по вашему мнению, угрожать безопасности. Например, в Windows NT можно регистрировать как удачные, так и неудачные попытки входа в систему. Записывайте и те, и другие! Не исключено, что число неудачных попыток входа в систему окажется намного меньше удачных, и размер log-файла будет намного меньше, однако записи о последних служат неоценимым средством для получения информации о том, как, когда и почему была нарушена защита вашей системы. Частые ошибки входа в систему нередко говорят о том, что кто-то пытается проникнуть в сеть при помощи подбора паролей, и должны привлечь к себе внимание. В свою очередь, записи об успешных попытках могут сообщить о том, что учетная запись пользователя применяется для входа в систему во внерабочее время или с чужого компьютера.

Рассматривайте данные в log-файлах как наиболее ценные данные в сети. Не удаляйте их в целях экономии пространства на диске. Если вы не работаете с носителями для однократной записи, выполняйте резервное копирование log-файлов и сохраняйте их неограниченно долго. Это поможет вам обнаружить и нарушение защиты, вызванное «троянским конем», внедренным в систему много месяцев назад. Следует сохранять log-файлы, чтобы в будущем их можно было тщательно проанализировать.

Если вы уже несколько лет работаете в своей должности и до сих пор не сталкивались с серьезными проблемами безопасности, то, возможно, просмотр log-файлов

---

Передний край аудита: защита доступа к ресурсам

Аудит - это один из способов обеспечения безопасности системы. Другой метод -защита доступа к ресурсам. Настоящая глава посвящена аудиту, а защита доступа к системным ресурсам и данным с помощью соответствующих механизмов в операционных системах UNIX и Windows NT описана в главе 6. Если вы выставите права доступа к ресурсам и привилегии пользователей так, чтобы обеспечить их максимальную безопасность, вам не придется ночами просматривать log-файлы с целью найти источник проблем.

Система UNIX

UNIX была провозглашена переносимой операционной системой. Она позволила нескольким крупным компаниям - производителям компьютеров - избавиться от множества собственных ОС. Но сегодня на рынке существует большое число разновидностей UNIX, и данная система, пожалуй, чаще всего служит для коммерческого подключения компьютеров к Internet. Ее «младшая сестра», Linux, достигла больших успехов на рынке. Поскольку имеются различные дистрибутивы UNIX, синтаксис команд в них не обязательно будет совпадать с приведенным здесь.

Применение утилиты syslog

Одно из важных средств аудита в UNIX - утилита syslog. Она принимает данные от множества других программ и утилит и записывает их в одном месте. Но она становится полезным инструментом аудита только при условии, что вы знаете, как ее настраивать, и понимаете значение записываемых событий.

Демон syslogd должен запускаться при старте системы; это выполняется при помощи одного из файлов гс. Синтаксис запуска демона:

/etc/syslogd [-mN] [-1имя файла] [-d]

По умолчанию настройки утилиты syslog находятся в файле /etc/ syslog.conf. Вы можете пользоваться другим файлом настроек, задав ключ -f с именем файла, что бывает удобно по двум причинам. Во-первых, хакеру немного сложнее найти нестандартное имя файла и внести в него изменения. Во-вторых, допускается применение нескольких разных файлов для тестирования различных настроек регистрации.

кажется вам напрасной тратой времени и сил, которые лучше употребить на более полезные действия. Но после подключения к Internet уже нельзя работать «как обычно». Это лишь начало революции в компьютерах и средствах связи, и старые проблемы бледнеют по сравнению с теми, которые появляются на горизонте.

---

Ключ -т предназначен для записи в файл отметок времени. Ключ -d включает режим отладки.

Чтобы настроить работу syslogd, обратитесь к документации брандмауэра. В программном обеспечении многих межсетевых экранов регистрация событий выполняется с помощью демона syslogd, и в документации производителя должны содержаться инструкции по его настройке.

Откуда получает сообщения eyelogd?

Демон syslogd - это фоновый процесс, ожидающий появления сообщений и реагирующий на них в соответствии с заданными в файле конфигурации настройками. Откуда берутся эти сообщения? Они приходят из трех источников. Во-первых, сокет /dev/log получает сообщения от процессов, работающих на локальном компьютере. Во-вторых, устройство /dev/klog принимает сообщения от ядра UNIX. В-третьих, на 514-й порт UDP поступают сообщения от других компьютеров в сети.

Файл настройки syslogd: syslog.conf

Файл настройки демона sys logd представляет собой текстовый файл с символами ASCII, который открывается в любом текстовом редакторе. Можно использовать заданный по умолчанию файл /etc/syslog.conf или какой-либо другой, запуская утилиту с соответствующим ключом. Этот файл содержит записи для всех типов регистрируемых сообщений. Каждая такая запись состоит из двух частей:

О селектор, определяющий тип записываемого события - его источник и критичность;

О действие, которое должен выполнить демон sys logd при наступлении события.

В свою очередь селектор содержит две части, разделенные точкой. Первая часть селектора представляет собой имя создавшего сообщение системного устройства. Вторая часть обозначает уровень критичности сообщения. На одной строке может находиться несколько селекторов, которые должны быть разделены точкой с запятой.

В табл. 8.1 перечислены различные системные устройства UNIX, которые применяются в селекторе, а в табл. 8.2 - возможные уровни критичности.

Таблица 8.1. Имена устройств, используемые в файле настроек syslogd

1 Устройство , *".Описание** .

userПользовательские приложения

kernЯдро

mailПочтовая система

daemonСистемные демоны

authАвторизация (например, вход в систему)

lprСпулер печати

0 ... 48 49 50 51 52 53 54 ... 125