Logovanie

linux_server.jpg V pred­chád­za­jú­cich čas­tiach se­riá­lu sme sa ve­no­va­li rôz­nym tec­hnic­kým otáz­kam bez­peč­nos­ti. Za­obe­ra­li sme sa rôz­ny­mi druh­mi úto­kov na na­šu sieť, uká­za­li sme rôz­ne spô­so­by, ako sa pro­ti nim brá­niť, a vy­svet­li­li sme vý­nim­ky, kto­ré po­tre­bu­je­me ob­čas z bez­peč­nos­tných pra­vi­diel vy­ra­diť. Len ok­ra­jo­vo sme spo­me­nu­li, že mno­ho rôz­nych zá­sa­hov do bez­peč­nos­ti sie­te sa nac­hád­za v tak­zva­ných lo­goch. A tým sa ten­to­raz bu­de­me ve­no­vať.

Lo­go­va­nie
Už na za­čiat­ku mu­sím veľ­mi ne­rád po­zna­me­nať, že za­čí­na­jú­ci správ­co­via sie­te sa lo­go­va­niu vy­hý­ba­jú ako čert krí­žu. Je to pre­to, že tak­to za­zna­me­na­né in­for­má­cie ne­ve­dia vy­užiť, a tak vlas­tne ne­ma­jú pre nich kon­krét­nu vý­po­ved­nú hod­no­tu. Za­čí­na­jú­ci správ­co­via to­tiž v po­čiat­ku svo­jej prá­ce ve­nu­jú nad­mer­né úsi­lie zvlád­nu­tiu bez­po­ruc­ho­vé­ho cho­du li­nuxové­ho server­a. Po­tom na zá­kla­de dos­tup­ných in­for­má­cií nas­ta­via ne­ja­ké pros­tried­ky bez­peč­nos­ti, kde sa ako­si spo­ľah­nú na kva­li­tu zdro­ja in­for­má­cií. V prí­pa­de zis­te­nia ur­či­té­ho dru­hu úto­ku riešia ob­ra­nu prein­šta­lo­va­ním ce­lé­ho sys­té­mu a prí­pad­nou ob­no­vou kon­fi­gu­rač­ných sú­bo­rov z ty­pic­ké­ho ad­re­sá­ra /etc a nás­led­ným na­sa­de­ním vy­ššie­ho stup­ňa bez­peč­nos­ti. Až po do­siah­nu­tí ur­či­tej úrov­ne vlas­tných zna­los­tí a hlav­ne ru­tin­ných zruč­nos­tí pris­tu­pu­jú k štú­diu vý­pi­su lo­go­va­cích sú­bo­rov. A vte­dy zis­tia, aké ve­dia byť lo­gy prí­nos­né na po­zna­nie cho­du sie­te. Ale pre­čo až tak nes­ko­ro? Po pr­vé, je to úpl­ne pri­rod­ze­ný vý­voj sys­té­mo­vé­ho správ­cu, po dru­hé, o lo­goch a lo­go­va­ní všeo­bec­ne sa v od­bor­nej li­te­ra­tú­re ve­ľa ne­pí­še.

Log v an­glič­ti­ne zna­me­ná zá­pis, zá­znam ale­bo pro­to­kol. Ana­lo­gic­ky lo­go­va­nie je čin­nosť kon­krét­ne­ho pro­ce­su (ale­bo prog­ra­mu – dé­mo­na), kto­rá za­zna­me­ná­va sta­no­ve­né in­for­má­cie do sú­bo­ru s cie­ľom ich nes­kor­šej ana­lý­zy ad­mi­nis­trá­to­rom.

Niek­to­ré pro­ce­sy po­uží­va­jú svo­je lo­go­va­cie služ­by a lo­gu­jú do vlas­tných lo­go­va­cích sú­bo­rov, ale väč­ši­na pro­ce­sov vy­uží­va služ­by špe­ciál­ne­ho dé­mo­na, kto­ré­ho je­di­nou úlo­hou je pri­jí­mať sprá­vy od iných pro­ce­sov a za­zna­me­ná­vať ich do sú­bo­rov spo­lu s ča­som, me­nom a čís­lom pro­ce­su.

Cen­tra­li­zo­va­né lo­go­va­nie je vý­hod­nej­šie, pre­to­že lo­go­va­cie sú­bo­ry ob­slu­hu­je je­di­ná služ­ba po­ve­re­ná tou­to čin­nos­ťou, kto­rá ria­di prís­tup (prá­vo zá­pi­su) do lo­go­va­cích sú­bo­rov od jed­not­li­vých pro­ce­sov. Zá­ro­veň cen­trál­na lo­go­va­cia služ­ba mô­že lo­go­va­cie sprá­vy vhod­ne filtro­vať, ka­te­go­ri­zo­vať a za­ra­ďo­vať do správ­nych sú­bo­rov po­dľa vlas­tné­ho nas­ta­ve­nia. Lo­go­va­cia služ­ba je ta­kis­to pro­ces a auto­ma­tic­ky sa spúš­ťa pri štar­te li­nuxové­ho server­a a beží po ce­lý čas be­hu server­a, le­bo len vte­dy má ce­lé lo­go­va­nie vý­znam.

Po­znám­ka:
Pr­vé, čo uro­bí zdat­ný útoč­ník po vstu­pe do na­pad­nu­té­ho sys­té­mu, je, že vy­pí­na lo­go­va­ciu služ­bu, aby zne­mož­nil nes­kor­šiu ana­lý­zu svo­jej čin­nos­ti.

Ty­pic­ká sprá­va v lo­gu po­zos­tá­va z jed­né­ho ale­bo via­ce­rých riad­kov, kto­ré ob­sa­hu­jú čas, me­no a čís­lo pro­ce­su, kto­rý sprá­vu vy­tvo­ril, a sa­mot­né­ho textu sprá­vy. Na vý­pi­se č. 1 je prík­lad vý­pi­su z lo­gu.

Apr 19 09:01:47 gmrs sshd[11358]: Ac­cep­ted password for root from 192.168.1.79 po­rt 3512 ssh2

Pre­čí­taj­me si te­raz, čo nám ho­vo­rí uve­de­ný ria­dok:
a) dá­tum a čas (Apr 19 09:01:47)
b) ná­zov po­čí­ta­ča, z kto­ré­ho sprá­va po­chád­za (gmrs)
c) ná­zov pro­ce­su, kto­rý sprá­vu vy­tvo­ril (sshd)
d) PID čís­lo pro­ce­su (11358)
e) sa­mot­ná sprá­va (Ac­cep­ted password for root from 192.168.1.79 po­rt 3512 ssh2)

sys­logd
Slu­žieb na cen­tra­li­zo­va­né lo­go­va­nie vo sve­te po­čí­ta­čov exis­tu­je nie­koľ­ko. Asi naj­pou­ží­va­nej­šia služ­ba v pros­tre­dí Li­nuxu a Unixu je dé­mon sys­logd (sys­tem log­ger dae­mon). Ok­rem toh­to dé­mo­na sa zvyk­ne po­uží­vať dé­mon na lo­go­va­nie správ z jad­ra (ker­ne­la), kto­ré­ho me­no je klogd (ker­nel log­ger dae­mon). Prv ako si uká­že­me nas­ta­ve­nia dé­mo­na sys­logd, vy­svet­lí­me dva po­jmy z ob­las­ti lo­go­va­nia – Fa­ci­li­ty a Prio­ri­ty.

Fa­ci­li­ty
Fa­ci­li­ty (z an­glic­ké­ho slo­va za­ria­de­nie, pros­trie­dok, prís­lu­šen­stvo) v na­šom prí­pa­de pred­sta­vu­je zdroj lo­go­va­nej sprá­vy, prí­pad­ne typ sprá­vy.

Dé­mon sys­logd roz­li­šu­je tie­to ty­py správ:
- auth – sprá­vy sú­vi­sia­ce s auten­ti­fi­ká­ciou, napr. sprá­vy dé­mo­na sshd, lo­go­va­nie po­uži­tia prí­ka­zu su, su­do a po­dob­ne
- authpriv – ne­sys­té­mo­vé auto­ri­zač­né a auten­ti­fi­kač­né sprá­vy
- cron – sprá­vy dé­mo­na cron
- dae­mon – sprá­vy rôz­nych dé­mo­nov
- kern – sprá­vy z jad­ra
- lpr – sprá­vy tý­ka­jú­ce sa tla­čo­vé­ho po­rtu
- mail – sprá­vy tý­ka­jú­ce sa elek­tro­nic­kej po­šty
- news – sprá­vy tý­ka­jú­ce sa dis­kus­ných sku­pín
- sys­log – sprá­vy tý­ka­jú­ce sa lo­go­va­cie­ho sys­té­mu
- user – sprá­vy tvo­re­né po­uží­va­teľ­ský­mi pro­ces­mi
- uucp – sprá­vy tvo­re­né uucp
- lo­cal0, lo­cal1.... – lo­go­va­cie po­dsys­té­my de­fi­no­va­né po­uží­va­te­ľom

Prio­ri­ty
Prio­ri­ty (z an­glic­ké­ho slo­va pred­nosť, pr­ven­stvo) ozna­ču­je v tom­to prí­pa­de dô­le­ži­tosť lo­go­va­nej sprá­vy. Mu­sí­me si uve­do­miť, že so zvy­šu­jú­cou sa dô­le­ži­tos­ťou sprá­vy sa zmen­šu­je po­čet správ vy­tvo­re­ných prís­luš­ným dé­mo­nom. Ale­bo nao­pak – služ­ba lo­gu­jú­ca s niž­šou prio­ri­tou vy­tvo­rí viac správ, pre­to­že lo­gu­je o se­be aj me­nej po­dstat­né ve­ci.

Dé­mon sys­logd roz­li­šu­je tie­to prio­ri­ty (v po­ra­dí od me­nej dô­le­ži­tých po naj­dô­le­ži­tej­šie):
- de­bug – veľ­mi po­drob­né in­for­má­cie pre prí­pad hľa­da­nia chýb
- in­fo – všeo­bec­né po­drob­né in­for­má­cie
- no­ti­ce – in­for­ma­tív­ne hlá­se­nia
- warn – va­rov­né hlá­se­nia
- err – chy­bo­vé hlá­se­nia
- crit – hlá­se­nia o kri­tic­kých chy­bách
- alert – vý­straž­né hlá­se­nia (nap­rík­lad o po­ško­de­ní da­ta­bá­zy a pod.)
- emerg – hlá­se­nia o ne­bez­pe­čen­stve – pa­nic­ké hlá­se­nia

Nas­ta­ve­nie lo­go­va­cie­ho dé­mo­na sys­logd sa skla­dá z de­fi­no­va­nia pra­vi­diel, kto­ré ur­ču­jú, aká ak­cia sa má vy­ko­nať pre da­ný typ in­for­má­cie o ur­če­nej dô­le­ži­tos­ti. Naj­čas­tej­šia ak­cia je pres­me­ro­va­nie do se­pa­rát­ne­ho sú­bo­ru, ale mož­nos­ti sú rôz­ne – od po­sie­la­nia mai­lom až po zbie­ra­nie in­for­má­cií z via­ce­rých server­ov do je­di­né­ho sú­bo­ru. Ce­lá kon­fi­gu­rá­cia dé­mo­na sys­logd je ulo­že­ná v kon­fi­gu­rač­nom sú­bo­re /etc/sys­log.conf. Štruk­tú­ra nas­ta­ve­ní je ta­ká, že jed­not­li­vé pra­vid­lá sa nac­hád­za­jú na sa­mos­tat­ných riad­koch a sú za­pí­sa­né v tva­re:

Fa­ci­li­ty.prio­ri­ty		ak­cia

Po­znám­ka:
Fa­ci­li­ty je bod­kou spo­je­né s prio­ri­ty a ak­cia nas­le­du­je po dvoch ta­bu­lá­to­roch.

Fa­ci­li­ty ur­ču­je zdroj správ. Mô­že­me za­pí­sať aj via­ce­ro zdro­jov správ s rov­na­kou prio­ri­tou, vte­dy ich od­de­lí­me čiar­kou, nap­rík­lad auth,authpriv.in­fo. Mô­že­me za­pí­sať aj via­ce­ro zdro­jov s rôz­ny­mi prio­ri­ta­mi, vte­dy zá­pis od­de­lí­me bod­ko­čiar­kou, nap­rík­lad auth.err;mail.in­fo.

Prio­ri­ty ur­ču­je dô­le­ži­tosť sprá­vy. Mô­že­me po­užiť via­ce­ro mož­nos­tí:
- mail.in­fo – lo­gu­je všet­ky sprá­vy zo zdro­ja mail a s prio­ri­tou in­fo a vy­ššou
- mail.=warn – lo­gu­je sprá­vy zo zdro­ja mail a s prio­ri­tou warn
- mail.!in­fo – ne­bu­dú sa lo­go­vať sprá­vy zo zdro­ja mail s prio­ri­tou in­fo a vy­ššou
- mail.!=in­fo – ne­bu­dú sa lo­go­vať sprá­vy zo zdro­ja mail s prio­ri­tou in­fo (len a prá­ve)
- mail.* – lo­gu­jú sa všet­ky sprá­vy zo zdro­ja mail
- mail.none – ne­bu­dú sa lo­go­vať žiad­ne sprá­vy zo zdro­ja mail

Ak­cia ur­ču­je spô­sob ma­ni­pu­lá­cie so sprá­va­mi. Ak­cie mô­žu byť tie­to:
- pres­me­ro­va­nie do sú­bo­ru s ab­so­lút­nou ces­tou k lo­go­va­cie­mu sú­bo­ru, napr. /var/log/maillog. Ak sa ces­ta k sú­bo­ru za­čí­na zna­kom "-", ne­bu­dú sa vy­práz­dňo­vať buf­fe­ry ope­rač­né­ho sys­té­mu po kaž­dom zá­pi­se; to mô­že spô­so­biť, že pri pá­de sys­té­mu ne­mu­sia byť za­lo­go­va­né po­sled­né chy­bo­vé hlá­se­nia, ale zlep­šu­je to vý­kon server­a naj­mä v prí­pa­de, že po­ža­du­je­me veľ­mi po­drob­né lo­go­va­nie
- pres­me­ro­va­nie na vir­tuál­ny ter­mi­nál TTY, napr. /dev/tty3
- pres­me­ro­va­nie lo­go­va­nia na iný, vzdia­le­ný server – ná­zov sa za­čí­na zna­kom@, napr. @server.prik­lad.sk
- za­sie­la­nie správ na ter­mi­nál po­uží­va­te­ľa – uvád­za sa zoz­nam po­uží­va­te­ľov, kto­rým sa sprá­va zob­ra­zí, napr. root, jan­ko (ak sú prih­lá­se­ní), ale­bo sa uvád­za znak *, čo zna­čí, že sa sprá­va zob­ra­zí na ter­mi­ná­loch všet­kých prih­lá­se­ných po­uží­va­te­ľov

Na­bu­dú­ce bu­de­me v lo­go­va­ní po­kra­čo­vať.

Ďal­šie čas­ti >>

Zdroj: Infoware 6-7/2010



Ohodnoťte článok:
   
 

24 hodín

týždeň

mesiac

Najnovšie články

Li­nux prak­tic­ky ako server úvod
Linux ako server je pomerne zložitá technológia. Jej výhodou je určitá modularita, keď sa nemusí nastaviť celý server naraz, ale postupne. čítať »
 
Syn­chro­ni­zá­cia ča­su v Li­nuxe
V predchádzajúcich dvoch častiach sme si ukázali, že Linux a všeobecne open source softvér sa nenachádza iba v serveroch a počítačových sieťach, ale aj v iných zariadeniach bežnej domácej potreby a v oblasti hobby. čítať »
 
Za­ria­de­nia za­lo­že­né na Li­nuxe
V predchádzajúcej časti sme si spomenuli definície nie - ktorých pojmov z oblasti nášho záujmu, teda Linuxu. Vysvetlili sme si, čo je to Open Source, Public Domain, proprietárny softvér a GNU GPL. Tentoraz ukážeme, ako sa tieto pojmy využívajú v praxi. čítať »
 
Po­jmy z ob­las­ti
Tentoraz na chvíľu trochu odbočíme od bezpečnosti Linuxu a jeho siete. V tejto neštandardnej časti seriálu sa mu budeme venovať len okrajovo. čítať »
 
Bez­peč­nosť bez­drô­to­vých sie­tí II.
V predchádzajúcej časti sme sa začali zaoberať bezpečnosťou bezdrôtových sietí. Poukázali sme na rôzne faktory zneužitia siete, podstatu rizika a vysvetlili sme základné prvky bezpečnosti. čítať »
 
Bez­peč­nosť bez­drô­to­vých sie­tí I.
V predchádzajúcich častiach sme sa venovali bezpečnosti linuxového servera. Riešili sme firewall, bezpečnosť prístupu na internet, zaoberali sme sa demilitarizovanou zónou a podobne. čítať »
 
Údr­žba lo­gov – kon­fi­gu­rá­cia log­ro­ta­te
V predchádzajúcej časti sme sa venovali rotácii logov. Vysvetlili sme princíp ukladania logov, spôsob, ako sa rotujú, a uviedli sme niečo o tom, čo a ako treba nastaviť čítať »
 
Údr­žba lo­gov – ro­tá­cia
V predošlej časti sme sa zaoberali spôsobom logovania informácií na iný alebo vzdialený počítač a ukázali sme, ako riešiť problém s logovaním uzavretých procesov pomocou chroot. čítať »
 
 
 
  Zdieľaj cez Facebook Zdieľaj cez Google+ Zdieľaj cez Twitter Zdieľaj cez LinkedIn Správy z RSS Správy na smartfóne Správy cez newsletter