• Создание компьютерных игр
  
• Компьютерная безопасность и защита информации
  
• Компьютерные сети
  
• Тонкости обслуживания компьютерной сети
  
• Компьютерные злоумышленники в художественной литературе
  
• Linux - безопасность и администрирование
  
• Администрирование Lotus
  
• Lotus - вопросы и ответы
  

Файлы аудита

Интерес для администратора могут представлять файлы протоколов, а также файлы, которые создаются прикладными программами в процессе своего функционирования, но не являются объектом работы пользователя или протоколом работы прикладной программы.

Файлы аудита обычно имеют расширение .log (для системы расширения имен не требуется, оно предназначается для пользователя или администратора) и располагаются в каталогах /etc/init.d/, /etc/rc*, /etc/red/, var/log/.

Основные файлы системных протоколов (журналы) ОС Linux находятся в каталоге /var/log. Информация о функционировании системы и работе пользователей записывается системными программами в определённые файлы этого каталога. Большей частью журналы представляют собой текстовые файлы, в которые информация записывается построчно и последовательно. Некоторые файлы представляют собой двоичные файлы определённой структуры, содержимое которых необходимо просматривать системными программами, интерпретирующими содержимое этих файлов в удобный для просмотра вид. Каталог /var/log содержит следующие основные файлы аудита:

• "сгоп" - текстовый файл, содержащий информацию о фактах выполнения периодических заданий;

• "'debug''' - текстовый файл, содержащий отладочную информацию ядра системы и каких-либо системных или прикладных программ; в этом файле может находиться информация о подключении к сервису "рорЗ" пользователей для получения своей почты;

• "faillog" - двоичный файл, содержащий информацию о неудачных попытках входа в систему, он также служит для установки максимального числа неудачных попыток входа в систему до блокирования учётной записи пользователя (утилита для работы с этим файлом - "faillog");

• "lastlog" - двоичный файл, содержащий информацию о последних входах в систему (утилита для работы с этим файлом - "lastlog");

• "maillog" - текстовый файл, содержащий информацию о работе почтовой системы "sendmail+procmair (файл сложен для визуального анализа, можно предложить свободно распространяемую программу "mreport");

У "messages" - текстовый основной файл, содержащий протоколируемую информацию о системе и процессах категории выше "info" и ниже "warn";

У "secure" - текстовый файл, содержащий информацию о попытках получения пользователями полномочий root;

> "wtmp" - двоичный файл, содержащий информацию о всех регистрациях
пользователей в системе (утилита для работы с этим файлом - "last").