- •4.1Безопасность ос семейства unix
- •4.1.1Средства идентификации и аутентификации
- •4.1.1.1Этап регистрации пользователя в системе
- •4.1.1.2Иерархия пользователей и групп системы unix
- •4.1.1.3Модули pam
- •4.1.2Безопасность файловой системы ос unix
- •4.1.2.1Разграничение доступа к ресурсам
- •4.1.3Механизмы взаимодействия пользователя с ресурсами
- •4.1.3.1Специальные атрибуты доступа
- •4.1.3.2Изменение прав доступа к ресурсам системы
- •4.1.4Подсистема регистрации и учета
- •4.1.4.1Основные файлы журналов событий
- •4.1.4.2Универсальная подсистема учета System Log
4.1.4Подсистема регистрации и учета
В операционной системе UNIX существует множество файлов журналов событий, в которых фиксируются важнейшие действия пользователей и системы. Современные реализации UNIX обеспечивают расширенные возможности по регистрации и фиксации в файлах журналов таких событий, как подключение к системе и отключение пользователей, работа системы электронной почты, передача файлов через сетевые среды, попытки пользователей получения статуса суперпользователя и многие другие.
4.1.4.1Основные файлы журналов событий
Большинство файлов журналов регистрации событий представляют собой текстовые файлы, каждая строка которых относится к какому-либо запротоколированному событию. Например, каждый раз, когда пользователь системы пытается стать суперпользователем, программа su может добавить строку в файл журнала sulog, записать была ли эта попытка успешной, зафиксировать имя данного пользователя и текущее системное время. Строки событий добавляются в файлы журналов либо непосредственно системными приложениями, либо при помощи унифицированной подсистемы ведения журналов syslog. Различные реализации ОС семейства UNIX хранят файлы журналов в различных каталогах.
Наиболее часто используются каталоги:
/var/adm современные реализации UNIX;
/var/log некоторые версии Solaris, Linux, BSD и других;
/usr/adm ранние реализации UNIX;
/etc некоторые файлы журналов.
Перечислим некоторые из часто используемых файлов журналов регистрации событий, находящихся в вышеприведенных каталогах и их подкаталогах:
acct или pacct исполняемые пользователями команды;
aculog исходящие звонки по модему;
lastlog время предыдущего подключения к системе и, возможно, предыдущей неуспешной попытки подключения;
loginlog неуспешные попытки подключения к системе;
sulog попытки использования команды su;
utmp список пользователей, подключенных к системе в текущее время;
wtmp время подключения и отключения от системы пользователей, а также время начала и завершения работы системы;
xferlog обращения к сервису передачи файлов FTP.
Простейшим средством контроля несанкционированного доступа к пользовательской учетной записи на основе системы регистрации и учета является подсистема оповещения пользователя о времени последнего подключения к системе на основе журнала lastlog. Операционная система записывает время подключения каждого пользователя к системе в журнал lastlog. Сообщение о времени последнего подключения под данным пользовательским именем выводится на терминал каждый раз после регистрации данного пользователя в системе. Сообщение о времени последнего подключения пользователя к системе также выводится при использовании команды finger. В некоторых версиях ОС UNIX в файле lastlog сохраняется также время последней неуспешной попытки подключения, и эта информация также выводится после регистрации данного пользователя в системе. Если выведенное сообщение о времени последнего входа в систему под данным именем не совпадает со временем последнего подключения зарегистрированного пользователя, значит, кто-то посторонний воспользовался данной пользовательской учетной записью, и необходимо срочно известить об этом администратора и поменять пароль пользователя.