Linux глазами хакера
вернуться

Флёнов Михаил Евгеньевич
Шрифт:

Итак, в директории /var/log/httpd создайте пустые файлы access_log, access_log.1, access_log.2, access_log.3, access_log.4, error_log, error_log.1, error_log.2, error_log.3 и error_log.4. Для большей правдоподобности в них можно поместить копию реальных данных, только убедитесь, что там нет важной информации. Правда по дате изменения и по строкам внутри файла злоумышленник легко увидит, что данные старые, но не догадается, что эта информация только для отвода глаз. Главное, чтобы даты изменения файла и формирования записей в нем совпадали.

Для упрощения создания подобных файлов можно на время включить журналы в директории по умолчанию, чтобы они набрали информации, а потом отключить.

После этого измените директивы ErrorLog и CustomLog в файле конфигурации Apache-сервера httpd.conf, указав другую директорию для хранения журналов. Вот такой простой метод позволяет затуманить мозги большинству взломщиков.

12.5.6. Кто пишет?

Записью в журналы, находящиеся в директории /var/log, занимаются демоны syslogd и klogd, но в программе setup при настройке автоматически загружаемых сервисов вы увидите только первый. Настройки автозапуска syslogd влияют и на загрузку klogd. Если вы используете изолированную систему или просто не нуждаетесь в протоколировании событий, происходящих в системе, то можете отключить эти сервисы, чтобы они не расходовали процессорное время. Для сервера я не рекомендую этого делать. Если сейчас вы еще не почувствовали необходимость использования журналов, то после первой проблемы или взлома системы увидите все их преимущества.

Программа syslogd сохраняет в файлах журналов всю информацию о сообщениях системы. Программа klogd предназначена для сохранения сообщений ядра. Настройки журналов находятся в файле /etc/syslog.conf. Пример содержимого файла можно увидеть в листинге 12.3.

Листинг 12.3. Файл конфигурации программы syslogd

# Log all kernel messages to the console.

# Logging much else clutters up the screen.

# Выводить все сообщения ядра на экран

# Вывод других параметров создаст на экране беспорядок

#kern.* /dev/console

# Log anything (except mail) of level info or higher.

# Don't log private authentication messages!

# Протоколировать в указанный файл все сообщения

# уровня info и выше

# Исключения составляют письма, сообщения аутентификации и демона cron

*.info;mail.none;authpriv.none;cron.none /var/log/messages

# The authpriv file has restricted access.

# Файл authpriv содержит ограниченный доступ

authpriv.* /var/log/secure

# Log all the mail messages in one place.

# Сохранять все события почтовой системы в указанное место

mail.* /var/log/maillog

# Log cron stuff

# Протоколировать сообщения cron

cron.* /var/log/cron

# Everybody gets emergency messages

# Все получают критические сообщения

*.emerg

# Save news errors of level crit and higher in a special file.

# Сохранять сообщения новостей уровня crit (критический)

# и выше в специальный файл

uucp,news.crit /var/log/spooler

# Save boot messages also to boot.log

# Сохранять сообщения, происходящие во время загрузки в указанный файл

lосаl7.* /var/log/boot.log

Назначение директив легко можно проследить по их комментарию. Все они имеют вид:

название.уровень

В качестве названия выступает имя параметра, который надо протоколировать. Это могут быть следующие категории сообщений:

□ 

kern
— от ядра;

□ 

auth
— о нарушении безопасности и авторизации;

□ 

authprith
— об использовании привилегированного доступа;

□ 

mail
— от почтовых программ;

□ 

cron
— от планировщиков задач
cron
и
at
;

□ 

daemon
— генерируются сервисами;

□ 

user
— от пользовательских программ;

□ 

uucp
— UUCP-сообщения (Unix To Unix Copy, копирование с Unix на Unix). В настоящее время практически не используется;