Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
МиСЗКИ_4_5.doc
Скачиваний:
0
Добавлен:
01.03.2025
Размер:
929.28 Кб
Скачать

4.1.4Подсистема регистрации и учета

В операционной системе UNIX существует множество файлов журналов событий, в которых фиксируются важнейшие действия пользователей и системы. Современные реализации UNIX обеспе­чивают расширенные возможности по регистрации и фиксации в файлах журналов таких событий, как подключение к системе и отключение пользователей, работа системы электронной почты, передача файлов через сетевые среды, попытки пользователей получения статуса суперпользователя и многие другие.

4.1.4.1Основные файлы журналов событий

Большинство файлов журналов регистрации событий представляют собой текстовые файлы, каждая строка которых относится к какому-либо запротоколированному событию. Например, каждый раз, когда пользователь системы пытается стать суперпользователем, программа su может добавить строку в файл журнала sulog, записать была ли эта попытка успешной, зафиксировать имя данного пользователя и текущее системное время. Строки событий добавляются в файлы журналов либо не­посредственно системными приложениями, либо при помощи унифицированной подсистемы ведения журналов syslog. Различные реализации ОС семейства UNIX хранят файлы журналов в различных каталогах.

Наиболее часто используются каталоги:

  • /var/adm современные реализации UNIX;

  • /var/log некоторые версии Solaris, Linux, BSD и других;

  • /usr/adm ранние реализации UNIX;

  • /etc некоторые файлы журналов.

Перечислим некоторые из часто используемых файлов журналов регистрации событий, нахо­дящихся в вышеприведенных каталогах и их подкаталогах:

  • acct или pacct исполняемые пользователями команды;

  • aculog исходящие звонки по модему;

  • lastlog время предыдущего подключения к системе и, возможно, предыдущей неуспешной попытки подключения;

  • loginlog неуспешные попытки подключения к системе;

  • sulog попытки использования команды su;

  • utmp список пользователей, подключенных к системе в текущее время;

  • wtmp время подключения и отключения от системы пользователей, а также время начала и завершения работы системы;

  • xferlog обращения к сервису передачи файлов FTP.

Простейшим средством контроля несанкционированного доступа к пользовательской учетной записи на основе системы регистрации и учета является подсистема оповещения пользователя о времени последнего подключения к системе на основе журнала lastlog. Операционная система запи­сывает время подключения каждого пользователя к системе в журнал lastlog. Сообщение о времени последнего подключения под данным пользовательским именем выводится на терминал каждый раз после регистрации данного пользователя в системе. Сообщение о времени последнего подключения пользователя к системе также выводится при использовании команды finger. В некоторых версиях ОС UNIX в файле lastlog сохраняется также время последней неуспешной попытки подключения, и эта информация также выводится после регистрации данного пользователя в системе. Если выведенное сообщение о времени последнего входа в систему под данным именем не совпадает со временем последнего подключения зарегистрированного пользователя, значит, кто-то посторонний воспользовался данной пользовательской учетной записью, и необходимо срочно из­вестить об этом администратора и поменять пароль пользователя.