Главная > Операционные системы > UNIX > Linux
Linux LogcheckОдной из важнейших задач в мире обеспечения безопасности является анализ файлов регистраций. Часто, повседневные работы администратора не оставляют ему время на это, что может привести к ряду проблем.В кратком обзоре Logcheck сказано: Ревизия и регистрация системных событий чрезвычайно важна. Системный администратор должен знать о происходящих событиях, чтобы суметь предотвратить возникновение проблем, особенно если система подключена к Интернет. К сожалению, для большинства версий UNIX регистрация событий не имеет значение, так как лог файлы никто не просматривает. Это то, в чем вам может помочь Logcheck. Он автоматизирует ревизию зарегистрированных событий, отфильтровывая "нормальные" сообщения, чтобы вы могли концентрировано посмотреть на проблемы и на потенциальных нарушителей. Logcheck - это программное обеспечение, которое создано, чтобы автоматически проверять системные журналы на предмет нарушений защиты и необычной активности. Она использует программу logtail, которая запоминает последнюю позицию, считанную из системного журнала, и использует ее при следующем запуске для получения новой информации. Эти инструкции предполагают.
Пакеты.
Тарбол. Хорошей идеей будет создать список файлов установленных в вашей системе до инсталляции Logcheck и после, в результате, с помощью утилиты diff вы сможете узнать какие файлы были установлены. Например, До инсталляции:
После инсталляции:
Для получения списка установленных файлов:
Раскрываем тарбол (tar.gz).
Вы должны редактировать файл "Makefile" Logcheck-а, чтобы определить
инсталляционные пути, флаги компиляции и оптимизации для вашей системы.
Место, куда будет установлен Logcheck должно соответствовать структуре
расположения системных файлов Red Hat,а расположение скрипта Logcheck переменной
окружения PATH.
Переместитесь в новый каталог Logcheck и выполните следующие команды: Редактируйте файл Makefile (vi Makefile) и измените следующие строки: CC = cc
CFLAGS = -O
INSTALLDIR = /usr/local/etc
INSTALLDIR_BIN = /usr/local/bin
INSTALLDIR_SH = /usr/local/etc
TMPDIR = /usr/local/etc/tmp
Вышеприведенные изменения настраивают на использование компилятора egcc,
включают оптимизационные флаги подходящие для вашей системы и определяют
месторасположение файлов Logcheck, соответствующее структуре размещения
системных файлов Red Hat.
Редактируйте файл Makefile (vi +67 Makefile) и измените следующую строку: @if [ ! -d $(TMPDIR) ]; then /bin/mkdir
$(TMPDIR); fi
Вышеупомянутое изменение (-p) позволит инсталляционной программе создавать
родительские каталоги, когда это необходимо.
Инсталляция Logcheck на вашей системе:
Вышеприведенная команда будут настраивать программу на операционную систему Linux, компилировать все исходные файлы в исполняемые двоичные, и затем, инсталлировать все двоичные и вспомогательные файлы в определенное место. Очистка после работы.
Команда "rm", использованная выше, будет удалять все исходные коды, которые мы использовали при компиляции и инсталляции Logcheck. Она также удалит .tar.gz архив из каталога /var/tmp. Конфигурация.Так как мы использовали альтернативное месторасположение файлов, нам необходимо изменить пути к "logcheck.hacking", "logcheck.violations", "logcheck.ignore", "logcheck.violations.ignore" и "logtail" в основном скрипте logcheck.sh. Скрипт файл для Logcheck "/usr/bin/logcheck.sh" позволяет настроить опции, которые модифицируют пути и действия программы. Он хорошо комментирован и очень прост.Шаг 1. Редактируйте файл logcheck.sh (vi /usr/bin/logcheck.sh) и измените следующее: LOGTAIL=/usr/local/bin/logtail
TMPDIR=/usr/local/etc/tmp
HACKING_FILE=/usr/local/etc/logcheck.hacking
VIOLATIONS_FILE=/usr/local/etc/logcheck.violations
VIOLATIONS_IGNORE_FILE=/usr/local/etc/logcheck.violations.ignore
IGNORE_FILE=/usr/local/etc/logcheck.ignore
Поместите соответствующий элемент в crontab файл пользователя root, чтобы Logcheck выполнялся автоматически каждый час (рекомендуется, можете запускать его чаще или реже). Для редактирования crontab введите следующую команду:
ЗАМЕЧАНИЕ. Запомните, что Logcheck не присылает отчеты по электронной
почте, если ему нечего сказать.
> /etc/logcheck > /usr/bin/logcheck.sh > /etc/logcheck/tmp > /etc/logcheck/logcheck.hacking > /etc/logcheck/logcheck.violations > /etc/logcheck/logcheck.violations.ignore > /etc/logcheck/logcheck.ignore > /usr/bin/logtail > /var/log/messages.offset > /var/log/secure.offset > /var/log/maillog.offset
Главная > Операционные системы > UNIX > Linux |