|
|
Technologie zapewniające bezpieczeństwo w systemach operacyjnych. |
Istnieją trzy główne grupy:
Aplikacje to oprogramowanie uruchamiane przez użytkownika, albo w tle przez system. Czasami mają one własny mechanizm logowania, mniej, lub bardziej pożyteczny.
Audytowanie systemu plików oznacza zapisywanie informacji o dodawaniu, modyfikacji i usuwaniu plików. Interesujących obserwacji może dostarczyć na przykład przeglądanie logów dotyczących pliku /etc/passwd, czy /bin/login.
Audytowanie sieci może pokazać, jakie zdarzenia w sieci pozwoliły na włamanie do systemu, czy było to na przykład przepełnienie jakiegoś bufora, albo atak przez DOS'a. Poza tym można tam znaleć informacje o nieudanych próbach włamania.
/var/log/secure Apr 10 13:43:48 mozart in.ftpd[6613]: connect from 192.168.11.200 Apr 10 13:43:51 bach in.ftpd[6613]: connect from 192.168.11.200 Apr 10 13:43:54 hadyen in.ftpd[6613]: connect from 192.168.11.200 Apr 10 13:43:57 vivaldi in.ftpd[6613]: connect from 192.168.11.200 Apr 10 13:43:58 brahms in.ftpd[6613]: connect from 192.168.11.200Widać, że ktos z adresu 192.168.11.200 skanował sieć w poszukiwaniu aktywnej uslugi FTP.
Apr 14 04:20:51 mozart mountd[6688]: Unauthorized access by NFS client 192.168.11.200. Apr 14 04:20:51 mozart syslogd: Cannot glue message parts together Apr 14 04:20:51 mozart mountd[6688]: Blocked attempt of 192.168.11.200 to mount ~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~ P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~ P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~ P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~ P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~ P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~ P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~ P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~ P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~ P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~ P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~ P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~ P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~ P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~ P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~ P~P~P3U3A°^[Í~@3O3A~KÚ°^FÍ~@?Âuô1A°^BÍ~@~EAubëb^VŹýt^F?At^Këo°0?E~HFyëi^°^B~ I^F?E~IF^D°^F~IF^H°f1U?A~InÍ~@~I^F°^Bf~IF^L°*f~IF^N~MF^L~IF^D1A~IF^P°^P~IF^H° f?AÍ~@°^A~IF^D°f3^DÍ~@ë^DëLëR1A~IF^D~IF^H°f?AÍ~@~HA°?1ÉÍ~@°??ÁÍ~@°??ÁÍ~@¸.bin@~ I^F¸.sh!@~IF^D1A~HF^G~Iv^H~IF^L°^K~Ió~MN^H~MV^LÍ~@1A°^A1UÍ~@eEyyyyýyPrivet ADMcrew~P(-^E^H(-^E^H(-^E^H(-^E^H(-^E^H(-^E^H(-^E^H(-^E^H(-^E^H(Apr 14 04:20:51 mozart ^H(-^E^H(-^E^H(-^E^H(-^E^H(-^E^H(-^E^H(-^E^H(-^E^H(-^E^H(-^E^H(-^E^H(-^ E^H(-^E^H-^E^H(-^E^H(-^E^H(-^E^H(-^E^H(-^E^H(-^E^H(-^E^H(-^E^H(-^E^H(-^E^H(-^E ^H(-^E^H-^E^H(-^E^H(-^E^H(-^E^H(-^E^H(-^E^ H(-^E^H(-^E^H(-^E^H(-^E^H(-^E^H(-^E ^H(-^E^H(-^EO powodzeniu włamania świadczyć mogą nowe, nieznane konta systemowe, konta o dużych przywilejach systemowych.
Jest to standardowe rozwiązanie dla systemów unixowych i Linuxa. W dystrybucji Red Hat przechowuje pliki z logami w katalogu /var/log. Przy użyciu specjalnego programu logrotate co pewien, ustalony czas (na przykład tydzień) pobierany jest aktualny plik z logami (logfilename), jego nazwa jest zmieniana (na logfilename.1). Jeżeli istniał wcześniej plik o nazwie, na którą zmieniamy nazwę tego pliku, to jego nazwa jest też odpowiednio zmieniana. Liczba przetrzymywanych w ten sposób plików jest ustalona przez konfigurację Syslog.
Pomagają w trzymaniu kontroli nad logami. Swatch przegląda log w trakcie zapisywania go do pliku i szuka w nim określonych wzorców. Jeżeli wzorzec występuje w logu, Swatch wykonuje akcję określoną przez konfigurację, która ma na celu zaalarmowanie administratora (na przykład wydanie sygnału, wykonanie jakiegoś programu).
Logwatch działa jako usługa typu cron, przegląda plik z logami, a następnię wysyła raport.
Są używane do sprawdzania integralności plików w systemie. Dzięki nim możemy dowiedzieć się o usunięciu ważnych plików.
Służą do audytowania wydarzeń w sieci.
Jeżeli logi nie są zabezpieczone, to nie są nic warte. Pierwszą rzeczą, jaką robi intruz po włamaniu się do systemu i uzyskaniu uprawnień administratora jest modyfikowanie logów. Tak więc pierwszym krokiem przed gromadzeniem logów powinno być zabezpieczenie podsystemu logowania.