Monitorowanie systemu
Monitorowanie systemu
Oj
tak..., czytanie logów systemowych nie należy chyba do najprzyjemniejszych czynności,
więc każdy sprytny administrator tworzy sobie skrypty "wyłuskujące" interesujące
informacje z konkretnych plików z katalogu /var/log/ lub korzysta z innych
programów, które zajmują się analizą logów.
Jeśli komuś udało się spenetrować nasz system, to właśnie dzięki informacjom,
które system zapisuje w /var/log/secure możemy się o tym dowiedzieć lub
zidentyfikować włamywacza.
Normalną aktywność systemu możemy sprawdzać korzystając z podstawowych poleceń
systemu:
last - podaje informacje o tym, kiedy użytkownicy logowali się do systemu.
Na tej podstawie możemy określić aktywność poszczególnych użytkowników.
who - podaje informacje o aktualnie zalogowanych w systemie użytkownikach
ps - polecenie ps z argumentem -ax wyświetla pełną listę
uruchomionych procesów działających w systemie.
Wspomnianym wcześniej plikiem /var/log/secure warto zaopiekować się specjalnie
i zadbać o to, by dane tam zapisywane były automatycznie przekazywane do innego
pliku lub urządzenia, albowiem możesz być pewien, że włamywacz zadba o skasowanie
jego zawartości, gdy tylko skończy soją robotę! Powinieneś więc rozwiązać ten
problem w sposób indywidualny i wygodny - w sieci znajdziesz ponadto kilka dobrych
programów, które wspomagają monitorowanie, poprawiają bezpieczeństwo lub otaczają
system opieką. Warto jednak samemu stworzyć sobie kilka prostych narzędzi napisanych
czy to jako skrypty powłoki bash, czy też w doskonale do tego celu nadającym
się Perlu. Masz tu ogromne pole do popisu dla swojej inwencji twórczej :-)
Jeśli znasz już dobrze swój serwer, to z pewnością wiele niepokojących objawów
potrafisz po prostu "wyczuć" obserwując pracę systemu. Warto jednak skorzystać
z takich narzędzi, jak pakiet Tripwire, którego działanie polega na odwzorowaniu
systemu plików i przypisaniu do nich cyfrowych sygnatur, których później można
użyć do wykrycia, czy nie zostały zamienione jakieś ważne pliki.
Z dnia na dzień powstają nowe programy wspomagające pracę administratora. Spróbuj
znaleźć chwilę czasu na zaznajomienie się z nimi, bo być może dzięki zastosowaniu
któregoś z nich na swoim serwerze, będziesz miał więcej czasu na inne ciekawe
zajęcia. Zamów więc sobie newsletter z witryn Freshmeat
oraz TUCOWS Linux i
korzystaj z tego, co inni zrobili już za Ciebie :-)
Copyright
(C) 2000-2002 by Grzegorz Lewandowski
All rights reserved