Руководство администратора Linux по безопасности



         

Основы протоколирования


Вообще говоря, Вы не хотите позволять пользователям видеть журналы сервера, и Вы особенно не хотите, чтобы они были способными изменять или удалять их. Вообще говоря, большинство журналов принадлежит пользователю и группе root, и не имеет никаких прав для кого-то еще, так что в большинстве случаев единственный пользователь, способный изменять файлы протоколов root. Есть несколько способов дополнительной защиты, самый простой из них команда ?chattr? (CHange ATTTRibutes) для перевода log-файлов в режим append only. Файл может дополняться, но стереть его будет нельзя. Для перевода его в такой режим нужно:

chattr +a filename

Только суперпользователь имеет доступ к этой функции chattr. Если Вы устанавливаете все журналы в такой режим, помните что программы прокрутки журналов будут терпеть неудачу, поскольку они не будут способны временно удалить журнал. Добавьте к скрипту обновления журналов строку для отмены режима append only:

chattr -a filename

и добавьте строку в тот же скрипт после обработки журнала, чтобы восстановить атрибут append only. Если Вы храните журналы в системе, Вы можете также установить атрибут immutable, так что с ними что-то сделать будет гораздо сложнее. Для установки атрибута immutable просто:

chattr +i filename

Теперь файл не сможет удалить никто, кроме root.

chattr -i filename

Только пользователь root имеет доступ к атрибуту immutable.




Содержание  Назад  Вперед