Владельцем всех файлов должен быть администратор root. Убедитесь также, что только он имеет полные права, а всем остальным не позволено работать с журналами.

По умолчанию для большинства файлов правом чтения обладает владелец и пользователи его группы, в качестве которой, чаще всего, можно увидеть root. Если в вашей системе в эту группу входит только администратор, то можно оставить все, как есть. Но если в нее входит несколько пользователей, что я абсолютно не приветствую, то необходимо сформировать специальную группу с минимальными правами и назначить ее для всех журналов.

Следующие команды создают новую группу

и устанавливают ее для всех log-файлов:

В директории /var/log правом чтения и записи в журналы должен обладать исключительно администратор. Пользователям группы следует разрешить только чтение, а остальным — запретить абсолютно все. Для того чтобы всем файлам установить эти права, выполните следующие команды:

Вторая строка состоит из двух директив. Команда

ищет в текущем каталоге все объекты, у которых тип равен , т.е. все файлы. Вторая ()— изменяет у всех найденных объектов права доступа на 640. Можно даже понизить это значение до 600, чтобы читать и писать мог только администратор.

Помимо этого, на директорию /var/log у пользователей не должно быть права на запись, потому что это позволит злоумышленнику удалять файлы. Если хакер не сможет изменить журнал, то попытается его уничтожить. Да, вы поймете, что в системе кто-то был, но не определите, как произошло вторжение и не сможете найти взломщика.

Помните, что, прочитав журнал, хакер может получить шанс повысить свои права, если там случайно окажется конфиденциальная информация. Но если журналы станут доступными на запись, то взломщик сможет замести следы, удалив все строки относительно своей активности.

Но и этого недостаточно для обеспечения максимальной защиты. Если посмотреть на суть журналов, то станет очевидным, что в них ОС только добавляет новые записи. Таким образом, можно поставить дополнительную защиту от удаления и изменения с помощью ключей. В файловых системах Ext2 и Ext3 есть команда

, с помощью которой можно устанавливать дополнительные атрибуты на файлы. Один из них (ключ ) позволяет задать условие, при котором файл можно только пополнять. Например, следующая команда устанавливает для файла /var/log/boot.log такой атрибут:

Попробуйте теперь изменить или удалить файл. У вас ничего не выйдет. Единственный недостаток этого ключа — у вас тоже не будет возможности чистить файл. А ведь журнал постоянно растет, и нет смысла хранить записи о событиях, которые произошли месяц, а то и год назад. Перед стиранием устаревшей информации из журнала необходимо снять атрибут:

Только не забудьте потом вернуть его на родину, чтобы файл снова стал доступным только для добавления записей.

Помимо журналов необходимо защищать и программы, установленные для их анализа. Бесполезно стоять на страже файлов, если их можно просмотреть через утилиты. Для этого у всех программ, позволяющих читать журналы, не должно быть установленного SUID- или SGID-бита.

Обеспечение безопасности одного только сервера неэффективно. Необходимо контролировать работоспособность всей сети. Как минимум, вы должны следить за всеми каналами связи.

Самый простой способ — использование утилиты nmap. Она позволяет выполнять команду

сразу на всю сеть, и по ответам можно узнать, что в данный момент доступно. Если какой-то компьютер не ответил, то необходимо выяснить причину. Возможно, это просто потеря питания или незапланированная перезагрузка. Но если это проделки хакера, то вы должны знать об этом первыми.

Утилита nmap хороша для однократного выполнения, но неудобна для мониторинга. Я больше предпочитаю CyD NET Utils (http://www.cydsoft.com). Единственный недостаток этой программы — она работает под Windows ☺. Проблема в том, что под *nix вообще подобных программ нет, а контролировать сеть можно и с клиентского Windows-компьютера. Многие так делают, чтобы работать в графическом режиме, а на сервере использовать текстовый.

Рассмотрим, как работает программа. Запустите ее и создайте новый проект (File/New project). Перед вами откроется окно, как на рис. 12.2. Слева находится список различных сетевых устройств: компьютеры, серверы и т.д. В центральной части окна есть рабочее поле, на котором можно проектировать свою сеть, расставляя необходимые элементы.

Рис. 12.2. Новый проект в программе CyD NET Utils

Выберите необходимый пункт в дереве компонентов и щелкните в рабочей области. Перед вами появится окно, в котором можно ввести данные о пользователе, компьютере и его составляющих (рис. 12.3). Это позволит в дальнейшем наблюдать за сетью и вести учет не только техники, но и всех пользователей.