Re: [Debian] Protokollierung sicherheitsrelevanter Zugriffe in Logfiles

To: "Walther, Christoph" <Christoph.Walther@telekom.de>, debian-user-de@lehmanns.de
Subject: Re: [Debian] Protokollierung sicherheitsrelevanter Zugriffe in Logfiles
From: Jürgen Dollinger <juergen@magrathea.stuve.uni-ulm.de>
Date: Wed, 31 Jan 2001 17:06:14 +0100
Message-id: <[🔎] 20010131170614.B20038@magrathea.stuve.uni-ulm.de>
In-reply-to: <[🔎] 6DD3343BE1D7D311B3BA0090270F691120CFAA@U8P18>; from Walther, Christoph on Tue, Jan 30, 2001 at 05:44:20PM +0100
References: <[🔎] 6DD3343BE1D7D311B3BA0090270F691120CFAA@U8P18>

Walther, Christoph wrote:
> in welchen Logfiles bei (Debian-) Linux folgende Protokolle enthalten sind,

Das kommt darauf an. Die meisten Programme die das Beduerfnis nach
Logfiles haben benutzen dazu den syslog Daemon. Was der dann mit der
Log-Information macht haengt von seinem Konfigfile /etc/syslog.conf ab.
Typischerweise kommt alles in ein paar Dateien unterhalb von /var/log/.

> -	Benutzerkennung
> -	Datum und Uhrzeit von An- und Abmeldung,
> -	Terminalerkennung oder -standort

Du willst wissen, wann sich wer von wo eingeloggt hat?  Da gibt zum
einen /var/log/auth.log (typischerweise wie gesagt haengt das von
syslog.conf ab) ausfuehrliche Auskunft. zB:

Jan 29 19:40:31 theomp12 sshd[22585]: Failed password for juergen from 134.60.1
Jan 29 19:40:31 theomp12 PAM_unix[22585]: (ssh) session closed for user juergen
Jan 29 19:40:35 theomp12 sshd[22586]: Accepted password for juergen from 134.60

Andererseits werden "Aufenthaltszeiten" auch in /var/log/wtmp geloggt
und koennen mit dem Kommando "last" ausgelesen werden.

> -	Aufzeichnungen über abgelehnte Zugriffe auf Systeme,
> 	Daten und andere Ressourcen
> -	Protokollierung erfolgreicher Zugriffe

Was willst du denn alles protokollieren? Wenn ich "ls -l" eintippe
greife ich erfolgreich auf

* das aktuelle Verzeichnis
* /bin/ls
* Diverse Librarys
* /etc/passwd (fuer die Ausgabe der Namen der Besitzer)
* /etc/group  (fuer die Ausgabe der Namen der Gruppen)

zu. Und wenn das Protokolliert werden soll natuerlich --indirekt--
auf das Logfile. Und das sind nur files, natuerlich erzeugt man einen
Prozess und greift damit auf Prozesstabelle, diverses in /proc etc zu.

Typischerweise werden die eingegebenen Kommandos noch in der .bash_history
(.ksh_history etc je nach shell) vermerkt, aber das dient nicht wirklich
als logfile da es ja den Nutzern selber gehoert.

> -	Systemwarnungen oder -fehler wie z.B.:
> 		1) Konsolwarnungen, 
> 		2) Abweichung vom Regelprotokoll,

Was soll das denn sein? Immer diese seltsamen deutschen Begriffe die
keiner versteht. Hoert sich fast wie bei Microsoft an.

> 		3) Netzmanagementalarme,
> 		4) Securityalarme.

Schau einfach mal in die /etc/syslog.conf und lies die zugehoerige manpage.

-- 
   /"\                               Jürgen Dollinger
   \ /     ASCII Ribbon Campaign     Uni Ulm
    X      Against HTML Mail         http://www.home.pages.de/~zeitnot/
   / \                               #include<stddisclaimer.h>

--
-----------------------------------------------------------
Um sich aus der Liste auszutragen schicken Sie bitte eine
E-Mail an debian-user-de-request@lehmanns.de die im Subject
"unsubscribe <deine_email_adresse>" enthaelt.
Bei Problemen bitte eine Mail an: Jan.Otto@Lehmanns.de
-----------------------------------------------------------

678 eingetragene Mitglieder in dieser Liste.

Reply to:

References:
- [Debian] Protokollierung sicherheitsrelevanter Zugriffe in Logfiles
  - From: "Walther, Christoph" <Christoph.Walther@telekom.de>

Prev by Date: Re: dselect
Next by Date: Re: [Debian] [manuel@internetx.de: Die rc.config]
Previous by thread: Re: [Debian] Protokollierung sicherheitsrelevanter Zugriffe in Logfiles
Next by thread: [Debian] Meine Mailbox wird gekillt !!!
Index(es):
- Date
- Thread