Книга: Linux глазами хакера

10.3.5. Журналирование

10.3.5. Журналирование

Некоторые администраторы фиксируют только действия анонимных и гостевых пользователей. Это обосновывается тем, что реальные пользователи системы не будут портить сервер, который им нужен для работы или обмена файлами. В корне неверное мышление, потому что достаточно много взломов совершается именно real-пользователями, да и злоумышленники, чаще всего, используют их.

Навредить серверу через гостевую или анонимную учетную запись слишком сложно, а при правильном распределении прав невозможно (только если есть ошибка в программе сервера). В большинстве случаев злоумышленник стремится заполучить доступ к авторизованной учетной записи и использовать ее.

Если произошло что-то неординарное, то, используя журналы, вы должны получить максимальную информацию о происшедшем и сделать все необходимое, чтобы это не повторилось (к вопросу журналирования мы еще вернемся в гл. 12).

По умолчанию wu-ftp для хранения журнала, который содержит последние записи FTP-сервера, использует файл /var/log/xferlog. История за предыдущие дни может быть просмотрена в файлах /var/log/xferlog.X, где X — это число от 0 до 5.

Давайте посмотрим, что можно регистрировать в журналах wu-ftp-сервера:

? log commands список — сохранять все команды клиента. В качестве списка можно указать одно из следующих значений: anonymous, guest или real;

? log transfers список направление — писать файлы, которые получает или отправляет пользователь. Последний параметр может содержать одно из двух значений inboard (входящий) и outboard (исходящий);

? log security список — регистрировать все нарушения безопасности, попытки выполнить запрещенные команды и др.;

? log syslog — использовать системный журнал syslog;

? log syslog+xferlog — использовать журналы syslog и xferlog одновременно.

Оглавление книги