Раздел: Документация

0 ... 49 50 51 52 53 54 55 ... 125

Таблица 8.1. Имена устройств, используемые в файле настроек syslogd (окончание)

USENET

UUCP (не реализовано) Утилиты сгоп и at

Зарезервировано для локального использования

Отметки времени Все предыдущие, кроме mark

news uucp cron

1оса10-7 mark

Таблица 8.2. Уровни критичности, задаваемые в файле syslog.conf

w

emerg

alert

crit

err

warning notice

info debug none -

«Паника». Обычно рассылается всем пользователям Требует немедленного внимания Критическая ситуация

Другие ошибки, не относящиеся к уровням emerg, alert или crit Предупреждения

Ситуации, требующие внимания, но не столь важные, как предупреждения или другие ошибки

Информационные сообщения

Сообщения отладки

Подавление вывода сообщений этого типа

Записать селектор очень легко. Для этого нужно всего лишь объединить одно из устройств из табл. 8.1 с одним из уровней критичности из табл. 8.2, разделив их точками, например:

kernel.alert auth,warning mail.notice lpr.crit

Вторая часть записи сообщает демону, что он должен сделать после получения определенного селектором события; при этом селектор отделяется пробелами. Утилита syslog в состоянии выполнить следующие действия:

О записать сообщение в log-файл (на большинстве систем это файл /var/adm/ messages);

О переслать сообщение на другой компьютер (на 514-й порт UDP);

О выдать сообщение на консоль (/clev/console);

О отправить сообщение подключенному к системе пользователю.

При наступлении одного события можно совершать несколько действий, например:

*. err,-auth.notice

*.err;auth.notice;daemon.info

/dev/console /var/adm/messages

---

В первой строке этого примера все события с уровнем критичности err выводятся на консоль. То же самое относится и к событиям, связанным с авторизацией пользователей. В следующей строке сообщения обоих этих типов записываются в файл сообщений. Вывод сообщения на консоль (или на терминал подключенного к системе пользователя) позволит сразу же привлечь к нему внимание. Сообщение, помещенное в log-файл, можно будет просмотреть позднее.

Обратите также внимание, что в этом примере селектор отделен несколькими пробелами. Это облегчает чтение и поддержку файла, позволяя четко видеть обе части записи. Почему удобочитаемость столь важна? Потому, что кроме просмотра log-файлов следует периодически проверять файл настройки утилиты syslog, чтобы убедиться в том, что он не был изменен нарушителем! В этот файл стоит также включать комментарии, отделяя их символом #. Если аккуратно отформатировать файл и снабдить его комментариями, вам будет проще понять, почему в него включены те или иные записи, что облегчит его просмотр. В приложении 2 содержится информация о таких программах, как Tripwire, которые упрощают проверку целостности системных файлов. )

При включении в межсетевой экран компьютера с системой UNIX удается использовать способность утилиты syslog пересылать сообщения на другой компьютер. Зачем? Это связано с тем, что брандмауэр всегда рискует быть скомпрометированным нарушителем. Если хакер способен проникнуть в систему, то он, возможно, сумеет отредактировать, изменить или даже удалить log-файл сообщений. Пересылка сообщений на другую систему немного повышает уровень защиты, поскольку хакеру при этом нужно найти способ попасть в другую систему, на которой находится log-файл.

Если вы придаете важное значение безопасности своей сети, то выделите отдельный компьютер, на который будут направляться все сообщения syslog с других систем. Вы сильно затрудните проникновение в эту систему, укрепив ее защиту за счет удаления ненужных учетных записей пользователей и служб, а также защиту доступа к файлам. Такое решение позволяет защититься как от внешних, так и от внутренних атак.

Для пересылки сообщений на другие компьютеры применяется следующий формат:

kern. *,-ath. * (iyoko.karma.com

Работа с log-файлом удобна сама по себе. Большие log-файлы стоит периодически перемещать на сменные носители, чтобы они не занимали места на жестком диске. В предыдущих примерах использовался стандартный файл /чах/ adm/messages. Допускается записывать все сообщения в этот или другой файл либо создавать отдельные log-файлы для событий разных типов. Наличие нескольких log-файлов позволяет упростить разделение рутинных задач по просмотру файлов между несколькими сотрудниками в соответствии с их знаниями.

---

При создании нескольких log-файлов для разбиения записанных сообщений на категории следует учитывать, что в некоторых версиях UNIX число файлов, которые может открыть демон syв log, ограничено и не должно превышать 16. Обратитесь к документации!

Различные log-файлы UNIX

Демон syslogd - не единственный способ создания log-файлов в системе UNIX. Поскольку система UNIX эволюционировала со временем и различные программисты и производители программного обеспечения вносили в нее новые компоненты, вы обнаружите, что существует множество полезных log-файлов, формируемых различными утилитами.

Файлы usr/adm/wtmp, /etc/utmp и lastlog

В этих трех бинарных файлах записываются пользователи системы. В файле /etc/utmp показаны только те пользователи, которые находятся в системе в данный момент, а файл usr/adm/wtmp содержит историю входов в систему и выходов из нее, а также другую информацию, например время завершения работы системы.

Файл /etc/utmp упоминается здесь не потому, что он полезен для обеспечения защиты, а по противоположной причине. Содержимое этого файла постоянно изменяется при входе пользователей в систему и выходе из нее. Основная проблема состоит в том, что во многих реализациях UNIX данный файл доступен для записи всем пользователям. Значит, нарушитель в состоянии отредактировать его и удалить запись о своем входе в систему. Этот файл используется командой who (а также командами rwho и finger), с помощью которой не всегда удается точно определить, кто из пользователей находится в системе (не следует забывать об этом!).

Записи из файла usr/adm/wtmp не удаляются после выхода пользователя из системы. В нем остается контрольный след всех входов пользователей в систему и выходов из нее. Поскольку информация в этот файл только вносится и записи из него не удаляются, он является прекрасным кандидатом для размещения на носителе с однократной записью/Таким способом вы предотвратите возможность его редактирования (или замены) хакером. Для получения данных из этого файла служат несколько команд. Вывод информации из файла в обратном порядке, при котором последние записи оказываются первыми, осуществляется посредством команды last.

Например, логично, если администратор электронной почты будет заниматься сообщениями почтовой системы. Системный администратор, возможно, захочет сам прочитывать сообщения, относящиеся к ядру UNIX. Применение нескольких log-файлов также упрощает написание программ, облегчающих процесс просмотра.

0 ... 49 50 51 52 53 54 55 ... 125