Re: [Debian] Protokollierung sicherheitsrelevanter Zugriffe in Logfiles
Walther, Christoph wrote:
> in welchen Logfiles bei (Debian-) Linux folgende Protokolle enthalten sind,
Das kommt darauf an. Die meisten Programme die das Beduerfnis nach
Logfiles haben benutzen dazu den syslog Daemon. Was der dann mit der
Log-Information macht haengt von seinem Konfigfile /etc/syslog.conf ab.
Typischerweise kommt alles in ein paar Dateien unterhalb von /var/log/.
> - Benutzerkennung
> - Datum und Uhrzeit von An- und Abmeldung,
> - Terminalerkennung oder -standort
Du willst wissen, wann sich wer von wo eingeloggt hat? Da gibt zum
einen /var/log/auth.log (typischerweise wie gesagt haengt das von
syslog.conf ab) ausfuehrliche Auskunft. zB:
Jan 29 19:40:31 theomp12 sshd[22585]: Failed password for juergen from 134.60.1
Jan 29 19:40:31 theomp12 PAM_unix[22585]: (ssh) session closed for user juergen
Jan 29 19:40:35 theomp12 sshd[22586]: Accepted password for juergen from 134.60
Andererseits werden "Aufenthaltszeiten" auch in /var/log/wtmp geloggt
und koennen mit dem Kommando "last" ausgelesen werden.
> - Aufzeichnungen über abgelehnte Zugriffe auf Systeme,
> Daten und andere Ressourcen
> - Protokollierung erfolgreicher Zugriffe
Was willst du denn alles protokollieren? Wenn ich "ls -l" eintippe
greife ich erfolgreich auf
* das aktuelle Verzeichnis
* /bin/ls
* Diverse Librarys
* /etc/passwd (fuer die Ausgabe der Namen der Besitzer)
* /etc/group (fuer die Ausgabe der Namen der Gruppen)
zu. Und wenn das Protokolliert werden soll natuerlich --indirekt--
auf das Logfile. Und das sind nur files, natuerlich erzeugt man einen
Prozess und greift damit auf Prozesstabelle, diverses in /proc etc zu.
Typischerweise werden die eingegebenen Kommandos noch in der .bash_history
(.ksh_history etc je nach shell) vermerkt, aber das dient nicht wirklich
als logfile da es ja den Nutzern selber gehoert.
> - Systemwarnungen oder -fehler wie z.B.:
> 1) Konsolwarnungen,
> 2) Abweichung vom Regelprotokoll,
Was soll das denn sein? Immer diese seltsamen deutschen Begriffe die
keiner versteht. Hoert sich fast wie bei Microsoft an.
> 3) Netzmanagementalarme,
> 4) Securityalarme.
Schau einfach mal in die /etc/syslog.conf und lies die zugehoerige manpage.
--
/"\ Jürgen Dollinger
\ / ASCII Ribbon Campaign Uni Ulm
X Against HTML Mail http://www.home.pages.de/~zeitnot/
/ \ #include<stddisclaimer.h>
--
-----------------------------------------------------------
Um sich aus der Liste auszutragen schicken Sie bitte eine
E-Mail an debian-user-de-request@lehmanns.de die im Subject
"unsubscribe <deine_email_adresse>" enthaelt.
Bei Problemen bitte eine Mail an: Jan.Otto@Lehmanns.de
-----------------------------------------------------------
678 eingetragene Mitglieder in dieser Liste.
Reply to: