[ Pobierz całość w formacie PDF ]

Update Agent Log up2date Plik zawiera komunikaty wynikające z działań Red Hat Update
Agent.
X.Org X11 Log Xorg.0.log Komunikaty wygenerowane przez serwer X systemu X.Org.
a
gdm/:0.log Zawiera komunikaty powiązane z ekranem logowania
(GNOME Display Manager).
a
samba/log.smbd Komunikaty demona serwera Samba (smbd).
a
squid/access.log Plik zawiera komunikaty związane z serwerem proxy
i buforowania.
a
vsftpd.log Plik zawiera komunikaty związane z trybem transferu używanym
przez demona vsFTPd (serwer FTP).
a
sendmail Komunikaty błędów zapisane przez demona sendmail.
a
uucp Komunikaty stanu pochodzące z demona protokołu Unix to
Unix Copy Protocol.
Litera a oznacza plik dziennika zdarzeń, który nie jest pokazywany w oknie narzędzia
Przeglądarka dzienników systemowych. Dostęp do tego pliku jest możliwy bezpośrednio
z katalogu /var/log.
Ponieważ wymienione pliki dzienników zdarzeń mają postać zwykłych plików tekstowych,
można je wyświetlić również za pomocą dowolnego edytora tekstowego (takiego jak vi
czy gedit) lub polecenia stronicującego (na przykład less).
Rozdział 6. Bezpieczeństwo systemu Linux 253
Rola demona syslogd
Większość plików w katalogu /var/log jest obsługiwana przez usługę syslogd. Demon
syslogd oznacza System Logging Daemon. Jego zadaniem jest przyjmowanie komunika-
tów z różnych programów i zapisywanie ich w odpowiednich plikach dzienników zdarzeń.
Jest to znacznie lepsze rozwiązanie niż zapis plików dzienników zdarzeń bezpośrednio
przez każdy program, gdyż demon umożliwia centralne zarządzanie obsługą plików dzien-
ników zdarzeń. Demon syslogd może zostać skonfigurowany tak, aby zapisywał pliki
dzienników zdarzeń o różnym stopniu szczegółowości. Demon może również ignorować
wszystkie komunikaty poza krytycznymi bądz
też zapisywać bardzo skrupulatnie wszyst-
kie informacje.
Demon syslogd można nawet przyjmować komunikaty z innych komputerów w sieci.
Jest to szczególnie użyteczna funkcja, gdyż umożliwia centralizację zarządzania i po-
bierania plików dzienników zdarzeń z wielu komputerów w sieci. Takie rozwiązanie
niesie ze sobą pewne korzyści związane z bezpieczeństwem.
Jeżeli dowolny komputer z sieci zostanie złamany, wówczas cracker nie będzie mógł
usunąć bądz
zmodyfikować plików dzienników zdarzeń, ponieważ będą one przecho-
wywane na innym komputerze. Należy jednak pamiętać, że domyślnie pliki dzienników
zdarzeń nie są szyfrowane. Podsłuchując ruch w sieci lokalnej, można wykryć przeka-
zywanie tych komunikatów w trakcie ich transferu między komputerami. Ponadto, mi-
mo że cracker nie będzie mógł zmodyfikować starych wpisów, może wpłynąć w taki
sposób na system, aby nowym komunikatom nie można było ufać.
Stosunkowo często stosowaną praktyką jest ustalanie komputera przeznaczonego spe-
cjalnie do zapisu plików dzienników zdarzeń z innych komputerów w sieci. Ponieważ
taki system działa bez innych uruchomionych usług, włamanie do niego jest bardzo mało
prawdopodobne. Dzięki temu cracker praktycznie nie ma możliwości wymazania śladów
swojej obecności i działalności, ale to nie oznacza, że wszystkie wpisy w dziennikach
zdarzeń powstałe po włamaniu będą prawidłowe.
Przekierowanie komunikatów zdarzeń
do serwera zdarzeń za pomocą syslogd
W celu przekierowania plików dzienników zdarzeń do demona syslogd innego kompu-
tera należy przeprowadzić kilka modyfikacji w pliku konfiguracyjnym lokalnego demona
syslogd (plik /etc/syslog.conf). Po uzyskaniu uprawnień użytkownika root (za pomocą
polecenia su) trzeba otworzyć w dowolnym edytorze tekstowym, takim jak vi, plik /etc/
syslog.conf. Plik będzie podobny do przedstawionego poniżej:
# Log all kernel messages to the console.
# Logging much else clutters up the screen.
#kern.* /dev/console
# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;news.none;authpriv.none;cron.none /var/log/messages
254 Część II Linux w praktyce
# The authpriv file has restricted access.
authpriv.* /var/log/secure
# Log all the mail messages in one place.
mail.* /var/log/maillog
# Log cron stuff
cron.* /var/log/cron
# Everybody gets emergency messages
*.emerg *
# Save news errors of level crit and higher in a special file.
uucp,news.crit /var/log/spooler
# Save boot messages also to boot.log
local7.* /var/log/boot.log
#
# INN
#
news.=crit /var/log/news/news.crit
news.=err /var/log/news/news.err
news.notice /var/log/news/news.notice
Wiersze rozpoczynające się od znaku # są komentarzami. Pozostałe wiersze zawierają
dwie kolumny informacji. Lewa kolumna stanowi rozdzieloną przecinkami (spacje tutaj nie
działają) listę rodzajów i priorytetów komunikatów. Z kolei prawa kolumna zawiera plik
dziennika zdarzeń, w którym te komunikaty powinny być zapisywane.
W celu wysłania komunikatów do innego komputera (o nazwie loghost) zamiast do pliku
należy nazwę pliku zastąpić znakiem @ i nazwą komputera. Na przykład przekierowanie [ Pobierz całość w formacie PDF ]