Logovanie – pokračovanie

linux_server.jpg V pred­chád­za­jú­cej čas­ti sme sa ve­no­va­li lo­go­va­niu, je­ho prin­cí­pom a vý­zna­mu a vy­svet­li­li sme jed­not­li­vé po­jmy, ako fa­ci­li­ty, prio­ri­ty a po­dob­ne. Te­raz bu­de­me v tej­to té­me po­kra­čo­vať, po­vie­me si nie­čo o lo­go­va­cích sú­bo­roch, uká­že­me pár prík­la­dov aj reál­ny kon­fi­gu­rač­ný sú­bor.

Umies­tne­nie lo­go­va­cích sú­bo­rov a prá­va k nim
Ako sme už uvied­li, umies­tne­nie lo­go­va­cích sú­bo­rov sa špe­ci­fi­ku­je ak­ciou v kon­fi­gu­rač­nom sú­bo­re /etc/sys­log.conf. Štan­dar­dne sa lo­go­va­cie sú­bo­ry nac­hád­za­jú v ad­re­sá­ri /var/log. A je vhod­né, aby aj os­tat­né lo­go­va­cie prog­ra­my (iné ako dé­mon sys­logd) uc­ho­vá­va­li svo­je lo­go­va­cie sú­bo­ry v tom­to ad­re­sá­ri ale­bo je­ho po­dad­re­sá­roch. Tak­to sa vy­tvo­rí jed­noz­nač­ná štruk­tú­ra, kto­rá bu­de ná­po­moc­ná pri preh­ľa­dá­va­ní lo­gov nie­len na­mi, ale aj rôz­ny­mi ana­ly­tic­ký­mi prog­ra­ma­mi, tým sa však bu­de­me za­obe­rať nes­kôr. Veľ­mi vhod­né je umies­tniť ad­re­sár /var/log na sa­mos­tat­nú par­tí­ciu či do­kon­ca iný disk, aby lo­go­va­nie fun­go­va­lo aj v prí­pa­de, že niek­to úpl­ne za­pl­ní os­tat­né dis­ky.

Väč­ši­na dis­tri­bú­cií Li­nuxu chrá­ni lo­go­va­cie sú­bo­ry tak, že ich vlas­tní­kom je root a aká­si ad­mi­nis­trá­tor­ská sku­pi­na a sú­bo­ry ma­jú prá­vo na čí­ta­nie len pre tú­to sku­pi­nu (niek­to­ré lo­go­va­cie sú­bo­ry neob­sa­hu­jú cit­li­vé in­for­má­cie, a pre­to mô­žu byť či­ta­teľ­né pre ľu­bo­voľ­né­ho po­uží­va­te­ľa). Čas­to nes­ta­čí zme­niť prá­va k ak­tuál­nym lo­go­va­cím sú­bo­rom, mu­sí­me za­bez­pe­čiť aj to, aby no­vo vy­tvo­re­né lo­go­va­cie sú­bo­ry (po ro­to­va­ní lo­gu) ma­li na­mi po­ža­do­va­né prá­va. /

Nie­koľ­ko prík­la­dov
Na ob­jas­ne­nie zá­pi­sov spo­me­nu­tých v pred­chád­za­jú­cej čas­ti se­riá­lu si te­raz uká­že­me nie­koľ­ko vzo­ro­vých prík­la­dov.

Pr­vý prík­lad – lo­go­va­nie prih­la­so­va­nia sa do sys­té­mu
Je veľ­mi vhod­né lo­go­vať prih­la­so­va­nie do sys­té­mu. Tým zís­ka­me preh­ľad o tom, kto sa do sys­té­mu prih­lá­sil a ke­dy. Nie­že­by sme bo­li zve­da­ví, ale je dob­ré to ve­dieť. Keď­že ten­to log mô­že ob­sa­ho­vať cit­li­vé úda­je, tie­to zá­zna­my by ma­li byť od­de­le­né od os­tat­ných lo­go­va­ných in­for­má­cií v sa­mos­tat­nom sú­bo­re, naj­čas­tej­šie vo /var/log/auth.log (me­no sú­bo­ru, sa­moz­rej­me, mô­že­me ľu­bo­voľ­ne zme­niť aj na /var/log/prih­la­se­nie.log). Po­tom by zá­pis v kon­fi­gu­rač­nom sú­bo­re /etc/sys­log.conf vy­ze­ral tak­to:

auth,authpriv.*			/var/log/auth.log

Zá­stup­ný znak * pla­tí pre obe fa­ci­li­ty, te­da aj pre auth aj authpriv. Je zrej­mé, že z bez­peč­nos­tné­ho hľa­dis­ka je len správ­ne, že tak­to vy­tvo­re­ný sú­bor by mal byť prís­tup­ný iba pre roo­ta.

Dru­hý prík­lad – lo­go­va­nie elek­tro­nic­kej po­šty
Ne­pí­sa­né pra­vid­lo ho­vo­rí, že lo­go­va­nie všet­kých správ tý­ka­jú­cich sa elek­tro­nic­kej po­šty sa vy­ko­ná­va do sú­bo­ru /var/log/maillog. Ok­rem to­ho by bo­lo dob­ré, aby sa lo­go­va­li všet­ky sprá­vy tý­ka­jú­ce sa po­šty do troch sa­mos­tat­ných sú­bo­rov, nap­rík­lad do /var/log/mail.in­fo s dô­le­ži­tos­ťou „in­fo“ a vy­ššou, do /var/log/mail.warn s dô­le­ži­tos­ťou „warn“ a vy­ššou a na­po­kon do /var/log/mail.err s dô­le­ži­tos­ťou „err“ a vy­ššou. To­to je veľ­mi vhod­né na pre­ze­ra­nie lo­gov po­mo­cou auto­ma­tic­kých skrip­tov. Po­tom by zá­pis v kon­fi­gu­rač­nom sú­bo­re /etc/sys­log.conf vy­ze­ral tak­to:

mail.*			/var/log/mail.log
mail.in­fo		-/var/log/mail.in­fo
mail.warn		-/var/log/mail.warn
mail.err		/var/log/mail.err	

Asi nás za­uj­me znak - (mí­nus) pri dru­hom a tre­ťom riad­ku. Ten zna­me­ná, že dé­mon sys­logd ne­bu­de syn­chro­ni­zo­vať ten­to sú­bor (mail.in­fo a mail.warn) po zá­pi­se sprá­vy.

Tre­tí prík­lad – lo­go­va­nie do všeo­bec­né­ho sú­bo­ru
V niek­to­rých prí­pa­doch sa stá­va, že chce­me, aby sa všet­ko lo­go­va­lo do jed­né­ho spo­loč­né­ho lo­go­va­cie­ho sú­bo­ru, nap­rík­lad /var/log/sys­log (sa­moz­rej­me , že ho mô­že­me po­me­no­vať inak). Te­da nie úpl­ne všet­ko, ne­bu­de­me lo­go­vať auten­ti­fi­kač­né (auth,authpriv.none) sprá­vy a sprá­vy ty­pu mail.in­fo. Auten­ti­fi­kač­né úda­je sem ne­po­sie­la­me pre­to, že tie mô­žu byť cit­li­vej­šie, napr. mô­žu ob­sa­ho­vať hes­lo, kto­ré po­uží­va­teľ chyb­ne po­užil ako svo­je prih­la­so­va­cie me­no. No a mai­ly tu ig­no­ru­je­me pre­to, že na stred­ne vy­ťa­že­nom mai­lo­vom server­i za­pl­nia in­for­má­cie o pric­hád­za­jú­cej a od­chád­za­jú­cej po­šte väč­šiu časť toh­to lo­gu. Zá­pis v kon­fi­gu­rač­nom sú­bo­re /etc/sys­log.conf by po­tom vy­ze­ral tak­to:

*.*;auth,authpriv.none;mail.!=in­fo		-/var/log/sys­log

Po­znám­ka: Pred mail.!=in­fo mu­sí byť znak ;

Kon­fi­gu­rá­cia dé­mo­na sys­logd
Ako už vie­me, kon­fi­gu­rá­cia sys­lo­gu sa nac­hád­za v kon­fi­gu­rač­nom sú­bo­re /etc/sys­log.conf. Kaž­dá dis­tri­bú­cia Li­nuxu má svoj kon­fi­gu­rač­ný sú­bor ne­ja­ko pred­nas­ta­ve­ný. Nám však vô­bec nič neb­rá­ni kon­fi­gu­rač­ný sú­bor up­ra­viť. Na vý­pi­se č. 1 je uve­de­ný prík­lad kon­fi­gu­rač­né­ho sú­bo­ru /etc/sys­log.conf z dis­tri­bú­cie Fe­do­ra:

# Log all ker­nel mes­sa­ges to the con­so­le.
# Log­ging much el­se clut­ters up the screen.
#kern.*		/dev/con­so­le

# Log anyt­hing (except mail) of le­vel in­fo or hig­her.
# Don't log pri­va­te aut­hen­ti­ca­tion mes­sa­ges!
*.in­fo;mail.none;authpriv.none;cron.none		/var/log/mes­sa­ges

# The authpriv fi­le has res­tric­ted ac­cess.
authpriv.*			/var/log/se­cu­re

# Log all the mail mes­sa­ges in one pla­ce.
mail.*		-/var/log/maillog


# Log cron stuff
cron.*		/var/log/cron

# Eve­ry­bo­dy gets emer­gen­cy mes­sa­ges
*.emerg		*

# Sa­ve news errors of le­vel crit and hig­her in a spe­cial fi­le.
uucp,news.crit		/var/log/spoo­ler

# Sa­ve boot mes­sa­ges al­so to boot.log
lo­cal7.*		/var/log/boot.log

Ako vid­no, je nao­zaj len veľ­mi jed­no­duc­hý a pre ur­či­té špe­ci­fi­ká bu­de žia­du­ca je­ho úp­ra­va. Tre­ba mať na pa­mä­ti, že po kaž­dej zme­ne ob­sa­hu /etc/sys­log.conf tre­ba vy­ko­nať opä­tov­né na­čí­ta­nie kon­fi­gu­rač­né­ho sú­bo­ru dé­mo­nom sys­logd. To mô­že­me reali­zo­vať nie­koľ­ký­mi spô­sob­mi, naj­čas­tej­šie prí­ka­zom

/etc/init.d/sys­log re­load

ale­bo za­slať dé­mo­no­vi sig­nál HUP

killall -HUP sys­logd

ale­bo v dis­tri­bú­ciách Red­HAt a Fe­do­ra prí­ka­zom

servic­e sys­log re­load

Dô­le­ži­tý as­pekt opä­tov­né­ho na­čí­ta­nia kon­fi­gu­rač­né­ho sú­bo­ru je to, že účin­kom re­loa­do­va­nia kon­fi­gu­rá­cie dé­mon sys­logd za­tvo­rí a opä­tov­ne ot­vo­rí všet­ky lo­go­va­cie sú­bo­ry, čo sa ús­peš­ne vy­uží­va pri ro­to­va­ní lo­gov (bu­de­me sa to­mu ve­no­vať nes­kôr).

Aké sú te­da naj­čas­tej­šie lo­go­va­cie sú­bo­ry? Po­dľa ur­či­tých li­nuxových zvyk­los­tí mô­že­me zá­zna­my o čin­nos­ti na server­i náj­sť v týc­hto sú­bo­roch (ek­vi­va­len­ty sú v zá­tvor­kách):

- in­for­má­cie o štar­te sys­té­mu: /var/log/boot.log (/var/log/dmesg)
- in­for­má­cie o prih­la­so­va­ní po­uží­va­te­ľov (vrá­ta­ne chýb pri prih­lá­se­ní): /var/log/se­cu­re (/var/log/auth.log, /var/log/auth/*)
- in­for­má­cie o mai­lo­vom sys­té­me: /var/log/maillog , (/var/log/mail.*", "/var/log/mail/*)
- in­for­má­cie o hlá­se­ní jad­ra: /dev/con­so­le (/var/log/kern.log, /var/log/ker­nel/*)
- všet­ky iné in­for­má­cie: /var/log/mes­sa­ges (/var/log/sys­log)

Na­bu­dú­ce sa po­zrie­me na ana­lý­zu a sprá­vu lo­go­va­cích sú­bo­rov.

Ďal­šie čas­ti >>

Zdroj: Infoware 8-9/2010



Ohodnoťte článok:
   
 

24 hodín

týždeň

mesiac

Najnovšie články

Li­nux prak­tic­ky ako server úvod
Linux ako server je pomerne zložitá technológia. Jej výhodou je určitá modularita, keď sa nemusí nastaviť celý server naraz, ale postupne. čítať »
 
Syn­chro­ni­zá­cia ča­su v Li­nuxe
V predchádzajúcich dvoch častiach sme si ukázali, že Linux a všeobecne open source softvér sa nenachádza iba v serveroch a počítačových sieťach, ale aj v iných zariadeniach bežnej domácej potreby a v oblasti hobby. čítať »
 
Za­ria­de­nia za­lo­že­né na Li­nuxe
V predchádzajúcej časti sme si spomenuli definície nie - ktorých pojmov z oblasti nášho záujmu, teda Linuxu. Vysvetlili sme si, čo je to Open Source, Public Domain, proprietárny softvér a GNU GPL. Tentoraz ukážeme, ako sa tieto pojmy využívajú v praxi. čítať »
 
Po­jmy z ob­las­ti
Tentoraz na chvíľu trochu odbočíme od bezpečnosti Linuxu a jeho siete. V tejto neštandardnej časti seriálu sa mu budeme venovať len okrajovo. čítať »
 
Bez­peč­nosť bez­drô­to­vých sie­tí II.
V predchádzajúcej časti sme sa začali zaoberať bezpečnosťou bezdrôtových sietí. Poukázali sme na rôzne faktory zneužitia siete, podstatu rizika a vysvetlili sme základné prvky bezpečnosti. čítať »
 
Bez­peč­nosť bez­drô­to­vých sie­tí I.
V predchádzajúcich častiach sme sa venovali bezpečnosti linuxového servera. Riešili sme firewall, bezpečnosť prístupu na internet, zaoberali sme sa demilitarizovanou zónou a podobne. čítať »
 
Údr­žba lo­gov – kon­fi­gu­rá­cia log­ro­ta­te
V predchádzajúcej časti sme sa venovali rotácii logov. Vysvetlili sme princíp ukladania logov, spôsob, ako sa rotujú, a uviedli sme niečo o tom, čo a ako treba nastaviť čítať »
 
Údr­žba lo­gov – ro­tá­cia
V predošlej časti sme sa zaoberali spôsobom logovania informácií na iný alebo vzdialený počítač a ukázali sme, ako riešiť problém s logovaním uzavretých procesov pomocou chroot. čítať »
 
 
 
  Zdieľaj cez Facebook Zdieľaj cez Google+ Zdieľaj cez Twitter Zdieľaj cez LinkedIn Správy z RSS Správy na smartfóne Správy cez newsletter