12.5.2. Системные текстовые журналы
12.5.2. Системные текстовые журналы
Представленные в этом разделе журналы — это текстовые файлы. Их можно без проблем просматривать такими командами, как cat, или любыми текстовыми редакторами.
В файле /var/log/messages находится основная информация о заходах пользователей, о неверных авторизациях, остановках и запусках сервисов и многое другое. В один документ все подобные события поместиться не могут, иначе он будет нечитаемым, поэтому в папке /var/log/ могут находиться файлы с именами messages.X, где X — это число.
Этот журнал один из самых главных для любого админа. Если взломщик пытается подобрать пароль, то вы сможете заметить быстрый рост этого файлам появление большого количества записей о неверной авторизации. На рис. 12.1 показан пример содержимого файла.
Рис. 12.1. Снимок экрана с открытым файлом /var/log/messages
Следующий журнал расположен в файле /var/log/secure. Что в нем такого особенного? Это самый основной журнал, который нужно проверять максимально часто, и каждой записи следует уделять особое внимание. В этом файле отображается, под каким именем и с какого адреса пользователь вошел в систему. Например, на сервис FTP может подключаться главный бухгалтер. Если вы увидели, что он пользуется сервисом, но при этом журнал показывает чужой IP-адрес, то это может стать поводом для беспокойства.
В этом же файле отображается информация а внесении изменений в список пользователей или групп. Злоумышленники очень редко используют запись root для своих злобных целей и заводят какую-нибудь более незаметную, с нулевым идентификатором. Если это сделано не руками, а с помощью команды Linux, то вы в журнале /var/log/secure увидите подозрительные изменения.
Хакеры, конечно же, знают о таких уловках, поэтому корректируют список вручную, ведь это не так уж и сложно — добавить по одной записи в файлы /etc/passwd и /etc/shadow. Но даже в этом случае вы почувствуете неладное, когда увидите запись о том, что в систему вошел пользователь, которого вы не создавали.
Но чтобы реагировать на подозрительные записи, вы должны быть внимательны. Самые опытные и крайне опасные хакеры используют очень интересные методы. Например, в вашей системе есть пользователь robert. Хакер видит эту запись и добавляет пользователя с именем rodert. Разница всего лишь в третьей букве, и если быть невнимательным, то это отличие не заметишь, и взломщик будет безнаказанно гулять по вашему компьютеру.
Журнал почтового сервера Sendmail находится в файле /var/log/maillog. В данном файле можно будет увидеть строки примерно следующего вида:
Jan 16 13:01:01 FlenovM sendmail[1571]: j0GA11S01571: from=root, size=151, class=0, nrcpts=1,
msgid=<200501161001.j0GA11S01571@flenovm.ru>, relay=root@localhost
Из этого файла вы можете узнать, кто, когда и кому отправлял сообщения.
Вспоминается случай, когда один администратор после того, как взломали его сервер, вручную осматривал все директории на предмет чужих файлов. Не проще ли проанализировать журнал, где все записано. Если злоумышленник не подчистил журналы до выхода из системы, то можно узнать достаточно много.
На журналы надеяться можно, но это не очень надежно. Умные хакеры всегда заметают свои следы и уничтожают ненужные записи из журналов, поэтому ручной осмотр действительно может пригодиться, но первым делом проверьте журнал.
Более 800 000 книг и аудиокниг! 📚
Получи 2 месяца Литрес Подписки в подарок и наслаждайся неограниченным чтением
ПОЛУЧИТЬ ПОДАРОКДанный текст является ознакомительным фрагментом.
Читайте также
Журналы SLIC
Журналы SLIC Ранее мы рассматривали ведение журналов базы данных. Базовые функции для протоколирования изменений базы данных реализованы ниже MI. Соответствующая поддержка предоставляется двумя системными объектами MI: порт журнала и область журнала. Порт журнала
9.3.4. Журналы
9.3.4. Журналы В конфигурационном файле есть несколько параметров, влияющих на работу прокси-сервера с журналом (легко читаются в любом текстовом редакторе):? cache_access_log файл — журнал, в котором сохраняется вся активность пользователей, а именно HTTP- и ICP-запросы. По умолчанию
12.5.8. Пользовательские журналы
12.5.8. Пользовательские журналы Все команды, которые выполняются пользователем, сохраняются в файле .bash_history (если используется интерпретатор команд /bin/bash), который находится в пользовательской домашней директории. Когда вы определили, под какой учетной записью в системе
12.7. Текстовые процессоры
12.7. Текстовые процессоры Давайте договоримся, что термином "текстовые процессоры" будем обозначать все программы для редактирования текстовых файлов, работающие в графическом режиме и использующие при сохранении результатов работы в файлах специальные символы или
Корпоративные журналы и газеты
Корпоративные журналы и газеты Многие компании, круг клиентов которых достаточно четко обозначен, выпускают корпоративные газеты или журналы. Такие издания интересны для специалиста конкурентной разведки тем, что они могут содержать перечни клиентов и содержать
Журналы и оповещения производительности
Журналы и оповещения производительности Оснастка предназначена для наблюдения за работой устройств, установленных на компьютере. Она содержит большой набор функций, что является как несомненным плюсом, так и большим минусом. Минус заключается в довольно сложном
Журналы и оповещения производительности
Журналы и оповещения производительности Несмотря на то, что просмотр счетчиков в реальном времени является хорошим способом определения производительности компьютера, он имеет ряд недостатков. Главным из них является то, что при просмотре счетчиков пользователь, как
Журналы счетчиков
Журналы счетчиков Именно с помощью журналов счетчиков решается проблема просмотра счетчиков в реальном времени. С помощью данных журналов можно определить время, начиная с которого компьютер будет записывать показания счетчиков в журнал, а также время, после которого
Журналы трассировки
Журналы трассировки Журналы трассировки являются разновидностью журналов счетчиков (более того, они описываются в той же ветви реестра), собирающей наиболее полные сведения о тех или иных объектах системы. Применять журналы трассировки, как правило, следует только при
3. Офлайновые книги и журналы на вашу тему
3. Офлайновые книги и журналы на вашу тему Откройте сайт интернет-магазина ozon.ru. Введите ключевое слово в поиске и посмотрите, есть ли книги по этой или смежным темам. Сходите в любой книжный
22.3. Блоги и онлайновые журналы
22.3. Блоги и онлайновые журналы Я полагаю, что тенденция создания онлайновых дневников (блогов) только будет нарастать, и не вижу признаков того, что они выйдут из моды в ближайшее время.Существует много блогов, имеющих отношение к Ruby. Поисковая машина отыщет их все, а я
23.2.2. Ошибка программы. Журналы системы
23.2.2. Ошибка программы. Журналы системы Когда причина ошибки в ваших действиях — это самый простой случай. Иногда бывает так, что система работала-работала, а на следующий день половина служб не запускается. В чем же причина? Тут вам поможет только чтение журналов системы,
Yesterday: какими были журналы в 1965 г.
Yesterday: какими были журналы в 1965 г. Автор: Сергей ЛеоновПохоже, современная периодика по своей сути не слишком изменилась за последние сорок лет. Листая издание 1965 года (журнал Electronics, McGraw Hill Publications, #8, 19 апреля 1965 года, номер примечательный тем, что именно в нем вышла статья
Читать свои контрольные журналы
Читать свои контрольные журналы Вам не принесет много пользы поддержка брандмауэром множества контрольных журналов, которые вы никогда не просматриваете. Хотя Global Chips была взломана много раз, они легко отделались потому, что у них были хорошие контрольные механизмы,