12.7. Безопасность журналов
12.7. Безопасность журналов
Заканчивая тему журналирования, необходимо поговорить и о безопасности. Журналы создавались как средство наблюдения за системой и выявления атак, но могут быть использованы в корыстных целях.
Рассмотрим классический пример взлома. Система регистрирует в журналах безопасности неверные попытки входа. При этом в файл попадает имя пользователя, который допустил ошибку. Сам пароль при этом не сохраняется, чтобы хакер, прочитав журнал, не смог его увидеть. Допустим, что легальный пользователь случайно вместо имени набрал свой пароль. Такое бывает, особенно по утрам, если человек пришел на работу не выспавшись или просто с плохим настроением. Таким образом, пароль будет сохранен в журнале в открытом виде.
Очень важно сделать так, чтобы журнал не был доступным для злоумышленника. Выполните сейчас следующую директиву для просмотра прав доступа на файлы журналов:
ls -al /var/log
Результат работы команды:
drwxr-xr-x 9 root root 4096 Jan 12 13:18 .
drwxr-xr-x 21 root root 4096 Jan 24 23:00 ..
drwx------ 2 root root 4096 Jan 12 11:14 bc1security
-rw-r----- 1 root root 83307 Jan 12 13:18 boot.log
-rw-r----- 1 root root 89697 Jan 6 09:01 boot.log.1
-rw-r----- 1 root root 48922 Jan 30 11:45 boot.log.2
-rw-r----- 1 root root 64540 Jan 23 19:55 boot.log.3
-rw-r----- 1 root root 36769 Jan 16 12:36 boot.log.4
-rw-r----- 1 root root 8453 Jan 12 13:18 cron
-rw-r----- 1 root root 8507 Jan 6 09:06 cron.1
-rw-r----- 1 root root 7189 Jan 30 11:50 cron.2
-rw-r----- 1 root root 6935 Jan 23 20:01 cron.3
-rw-r----- 1 root root 4176 Jan 16 12:41 cron.4
...
...
Владельцем всех файлов должен быть администратор root. Убедитесь также, что только он имеет полные права, а всем остальным не позволено работать с журналами.
По умолчанию для большинства файлов правом чтения обладает владелец и пользователи его группы, в качестве которой, чаще всего, можно увидеть root. Если в вашей системе в эту группу входит только администратор, то можно оставить все, как есть. Но если в нее входит несколько пользователей, что я абсолютно не приветствую, то необходимо сформировать специальную группу с минимальными правами и назначить ее для всех журналов.
Следующие команды создают новую группу loggroup и устанавливают ее для всех log-файлов:
groupadd logsgroup
cd /var/log
chgrp -R logsgroup
В директории /var/log правом чтения и записи в журналы должен обладать исключительно администратор. Пользователям группы следует разрешить только чтение, а остальным — запретить абсолютно все. Для того чтобы всем файлам установить эти права, выполните следующие команды:
cd /var/log
find . -type f | xargs chmod 640
Вторая строка состоит из двух директив. Команда find . -type f ищет в текущем каталоге все объекты, у которых тип равен f, т.е. все файлы. Вторая (xargs chmod 640)— изменяет у всех найденных объектов права доступа на 640. Можно даже понизить это значение до 600, чтобы читать и писать мог только администратор.
Помимо этого, на директорию /var/log у пользователей не должно быть права на запись, потому что это позволит злоумышленнику удалять файлы. Если хакер не сможет изменить журнал, то попытается его уничтожить. Да, вы поймете, что в системе кто-то был, но не определите, как произошло вторжение и не сможете найти взломщика.
Помните, что, прочитав журнал, хакер может получить шанс повысить свои права, если там случайно окажется конфиденциальная информация. Но если журналы станут доступными на запись, то взломщик сможет замести следы, удалив все строки относительно своей активности.
Но и этого недостаточно для обеспечения максимальной защиты. Если посмотреть на суть журналов, то станет очевидным, что в них ОС только добавляет новые записи. Таким образом, можно поставить дополнительную защиту от удаления и изменения с помощью ключей. В файловых системах Ext2 и Ext3 есть команда chattr, с помощью которой можно устанавливать дополнительные атрибуты на файлы. Один из них (ключ +a) позволяет задать условие, при котором файл можно только пополнять. Например, следующая команда устанавливает для файла /var/log/boot.log такой атрибут:
chattr +а /var/log/boot.log
Попробуйте теперь изменить или удалить файл. У вас ничего не выйдет. Единственный недостаток этого ключа — у вас тоже не будет возможности чистить файл. А ведь журнал постоянно растет, и нет смысла хранить записи о событиях, которые произошли месяц, а то и год назад. Перед стиранием устаревшей информации из журнала необходимо снять атрибут:
chattr -a /var/log/boot.log
Только не забудьте потом вернуть его на родину, чтобы файл снова стал доступным только для добавления записей.
Помимо журналов необходимо защищать и программы, установленные для их анализа. Бесполезно стоять на страже файлов, если их можно просмотреть через утилиты. Для этого у всех программ, позволяющих читать журналы, не должно быть установленного SUID- или SGID-бита.
Более 800 000 книг и аудиокниг! 📚
Получи 2 месяца Литрес Подписки в подарок и наслаждайся неограниченным чтением
ПОЛУЧИТЬ ПОДАРОКДанный текст является ознакомительным фрагментом.
Читайте также
Безопасность
Безопасность Следующая группа настроек – Безопасность. Объекты, в которых на первый взгляд нет ничего подозрительного, например электронное письмо от друга или ссылка на веб-страницу, могут оказаться зараженными вирусами или шпионскими программами, способными
5.4.2. Безопасность
5.4.2. Безопасность Мы уже знаем, что программа xinetd позволяет определять права и время доступа к сервисам. Для этого в конфигурационном файле можно использовать три команды: no_access, only_from и access_time.Директива no_access запрещает доступ с указанных компьютеров. Например, следующая
6.1.2. Безопасность
6.1.2. Безопасность В этом разделе мы рассмотрим директивы, которые напрямую или косвенно влияют на безопасность:? guest account = имя — указывается учетная запись, с правами которой пользователь сможет входить в систему. Если ваш сервер не содержит секретной информации и
11.7. Безопасность DNS
11.7. Безопасность DNS Если посмотреть на задачи, которые решает служба, то ничего сверх страшного в ней нет, и хакер не сможет ничего сделать. Как бы не так. Были случаи, когда DNS-серверы выводили из строя. Тогда обращение по именам становилось невозможным, а значит, сетевые
5.7. Стандартные файлы протоколов (журналов)
5.7. Стандартные файлы протоколов (журналов) В любой Unix-системе есть стандартные файлы протоколов (журналов), расположение которых может изменяться в зависимости от операционной системы. В Linux они находятся в каталоге /var/log. К стандартным протоколам относятся следующие
14.7 Безопасность
14.7 Безопасность 14.7.1 Проверка имен хоста клиента Иногда пользователи сталкиваются с невозможностью анонимного доступа к файловому архиву. Если это происходит не часто, то обычно является следствием загруженности сервера. Однако если доступ невозможен постоянно, значит
16.17 Безопасность
16.17 Безопасность 16.17.1 Проблемы с программой sendmail Из всех почтовых систем наиболее широко используется sendmail, большая и сложная программа, реализующая множество функций, включая трансляцию почтовых псевдонимов и расширение рассылочных списков.Поскольку sendmail работает
24.2 Безопасность
24.2 Безопасность В главе 3 мы уже отмечали три атрибута безопасности: Аутентификация Проверка подлинности пользователя, клиентского процесса или серверного приложения Целостность Проверка отсутствия изменений в данных Конфиденциальность Предотвращение
16.4. Файл ротации журналов /etc/logrotate.d/httpd
16.4. Файл ротации журналов /etc/logrotate.d/httpd Файл /etc/logrotate.d/httpd (или /etc/logrotate.d/apache — для версий Apache до 2.0) задает параметры ротации журналов веб-сервера, что позволяет поддерживать порядок в журнальном хозяйстве. Пример этого файла приведен в листинге 16.9.Листинг 16.9. Файл
Безопасность
Безопасность Как и обещали разработчики, Windows 7 действительно получила новые или модернизированные средства обеспечения безопасности. Например, теперь вместо Центра безопасности появился Центр поддержки, который, в отличие от своего предшественника, контролирует
Безопасность
Безопасность Отключение предупреждения (Windows XP SP2)После установки SP2 Internet Exprlorer стал выводит предупреждающие сообщения, при просмотре html-страниц на локальном компьютере, содержащих скрипты и элементы ActiveX. Но если вы сами занимаетесь созданием подобных страниц, то
Глава 4 Оформление журналов
Глава 4 Оформление журналов Основное и принципиальное отличие журнальной верстки от газетной и книжной – высокое качество полиграфии в большинстве современных журналов. Таким образом, дизайнер может задействовать больший арсенал выразительных средств. Благодаря
5.5. Просмотр журналов работы
5.5. Просмотр журналов работы Журналы работы сервера MySQL по умолчанию находятся в папке data корневой папки MySQL. Здесь вы можете найти следующие виды журналов.• Журнал ошибок.Файл с именем <Имя хоста>.err. Содержит сведения об ошибках в работе сервера, а также о запусках и
2.3.3.4 Безопасность
2.3.3.4 Безопасность Enterprise Gateway поддерживает централизованное управление пользовательскими идентификаторами (ID) и паролями, отображая их из среды INFORMIX в среду EDA/SQL. EDA/SQL Server обеспечивает безопасность путем взаимодействия с подсистемами безопасности соответствующих ОС.
Безопасность
Безопасность Безопасность сервераFirebird обеспечивает безопасность доступа пользователей к серверу с помощью идентификатора пользователя и зашифрованного пароля. Как и любой другой сервер базы данных, Firebird использует соответствующие средства защиты физического,
Безопасность
Безопасность Процедурам и триггерам могут быть предоставлены привилегии для специфических действий (SELECT, INSERT, DELETE и т.д.) к таблицам точно так же, как пользователям или ролям предоставляются привилегии. Не существует специального синтаксиса: используется обычный