fejléc
Gyakori kérdések Belépés Új kérdés Véletlen kérdés
Keresés
Kezdőoldal » Számítástechnika » Biztonság » Linux Rendszernaplózás megteki...

Linux Rendszernaplózás megtekintése?

Figyelt kérdés
Tulajdonképpen nagyon érdekel az Unix/Linux operációs alapú rendszerek működése. Ebből kifolyólag le is töltöttem pár pdf-könyvet, esténként azt olvasgatom. Szeretném mélyebben megismerni a rendszert, viszont nincs semmilyen informatikai háttérismeretem, mert anno még az egészségügy felé orientálódtam. Felhasználói alap szinten isemerem már a telepítés, jogosultság, könyvtárszerkezet, alapvető terminálparancsok tárgykörét. A könyvben jelenleg biztonság fejezet, ahol járok és itt olvastam a naplózásról, logfájlokról. Elvileg a /var/log -ban vannak ezek a fájlok, a syslog, vagy ryslog, syslog-ng-ben, most nem tudom melyik pontosan a legaktuálisabb, frisebb, amik információkat szolgáltatnak az illetéktelen behatolási próbálkozásokról, ssh-belépésekről, gyakorlatilag mindenről. A könyv szerint a syslog a rendszergazda legjobb barátja az unix rendszerek alatt. Tudna segíteni valaki abban, hogy hol kell pontosan ezeket megtekinteni, és hogy mit kell ott nézni, és hogyan kell értelmezni?

#biztonság #linux
2019. febr. 8. 00:15
 1/10 anonim ***** válasza:
53%

Ezek szimpla szövegfájlok.

Parancssorban szimplán a cat parancs segítségével írathatod ki a tartalmát - például:

cat /var/log/syslog

hogy tudjál benne lapozni:

cat /var/log/syslog | more

vagy

cat /var/log/syslog | less


Helytakarékosság miatt a naplóállományok időnként rotálva vannak. A tegnapi/múltheti/előző (ez beállítás kérdése - lásd logrotate) naplóállományok elérhetőek például így:

cat /var/log/syslog.1

az az előttiek meg tömörítve vannak, így azokat ki kell tömöríteni - például:

gunzip -c /var/log/syslog.2.gz

itt a gunzip a gzip-tömörítésű állományok kicsomagolásáért felel, a -c kapcsoló a standard kimenetre viszi ki a tartalmát.


Persze nem csak syslog van - ezeket kilistázhatod:

ls /var/log/

2019. febr. 8. 00:39
Hasznos számodra ez a válasz?
 2/10 A kérdező kommentje:

Köszönöm a választ! :) Végül is ezt már el tudtam érni, hogy kilistázom a fájlokat, csak azt nem tudom mit kell pontosan nézni, hogyan kell értelmezni a dolgokat. Elsősorban arra lennék kíváncsi, hogy volt-e próbálkozás betörésre, vagy scannalték-e a portokat, próbáltak-e ssh-val belépni. Igazából csak ilyen alap dolgok, amiket szeretnék tudni.


A jogosultság kérdéseinél sem tiszta minden. A chmod, chown parancsai mennek, gyakoroltam és alkalmaztam is őket. Viszont azt nem értem, kik a csoportok? Valójában kik ők, és hogyan láthatják, láthatták a dolgaim, valamint kikre kell gondolnom az egyéb felhasználók alatt? Lehet triviális a kérdés, de ezekről nem írt a könyv, sem a google kereső.

2019. febr. 8. 01:20
 3/10 anonim ***** válasza:

"próbáltak-e ssh-val belépni. "

/var/log/auth.log - ebből az sshd-vel kapcsolatos sorok kellenek:

cat /var/log/auth.log | grep sshd


"vagy scannalték-e a portokat"

Ezt csak akkor tudod megállapítani, ha van ilyen jellegű túzfalszabályod (iptables, ufw,...) vagy van ilyen jellegű szolgáltatásod (psad például)


"hogy volt-e próbálkozás betörésre"

Az előbbiek + valamilyen IDS (Snort például) használatával.

2019. febr. 8. 02:25
Hasznos számodra ez a válasz?
 4/10 A kérdező kommentje:

Remélem valami azért meg fog ragadni ebből a fejezetből is. Később ha majd jobban átlátom a dolgokat, youtube-on, egyéb helyeken utánanézek, olvasok akkor szerintem újra átolvasom megint. Vélhetően akkor már kicsit jobban ki fog tisztulni a sötétség. :) Viszont tartok attól, hogy egyedül segítség nélkül nem fogom tudni megérteni a dolgokat, hiába írja le a könyv.


Talán kellene valami nagyon szájbarágós, de részletes alapozós jegyzet. Lényegtelen remélem kb. 1 év múlva már jobban fogom érteni a rendszert. Eldöntöttem, hogy ez lesz az új hobbim. Köszönöm a válaszokat.

2019. febr. 8. 03:17
 5/10 anonim ***** válasza:

A journactl parancsra is nézz rá.

man journactl

2019. febr. 8. 06:21
Hasznos számodra ez a válasz?
 6/10 anonim ***** válasza:
2019. febr. 8. 10:34
Hasznos számodra ez a válasz?
 7/10 anonim ***** válasza:

"Viszont azt nem értem, kik a csoportok? Valójában kik ők, és hogyan láthatják, láthatták a dolgaim, valamint kikre kell gondolnom az egyéb felhasználók alatt?"

Ehhez egy kis történelmi bevezetés szükségeltetik: a Linux Unix-szerű operációs rendszer. A Unixot meg a 70-es években azért alkották meg - közületi ügyfeleknek, egyetemeknek - hogy egy "szerver" vagyis mainframe erőforrásait több felhasználó között elosszák. (Ellentétben például a DOS-szal, ahol egy felhasználó van)


Egy-egy ilyen szervezetben több felhasználói csoport van.

Például egy egyetemen van több kar, tanszék; vannak diákok, oktatók és egyéb dolgozók. Vállalatnál van több féle divízió (tervezés, gyártás, kereskedelem, pénzügy, HR,...). Ezeknek a felhasználói csoportoknak a különböző erőforrásokhoz különböző szinten lehet hozzáférniük (például a tanárok dokumentumaiba - teszem azt dolgozatkérdések - a diákoknak ne legyen hozzáférésük, de a géptermi nyomtatóhoz már mind a kettőnek legyen).


A másik dolog,a miatt szükség van csoportokra, az a szerverszolgáltatások. Például ha egy szerveren fut egy levelezőszerver és egy webszerver, nem ildomos, ha a kettő szolgáltatás direkt elérik egymás állományait. Vagy ha egy webszervert több, egymástól független előfizetőnek adsz ki, akkor javallott elszeparálni őket - ennek egyik módja a több felhasználó/csoport használata (újabban erre használják a konténerizációt/virtualizációt).

2019. febr. 8. 12:05
Hasznos számodra ez a válasz?
 8/10 A kérdező kommentje:
Na jó, utolsó kérdés! :) Aztán többet nem nyaggatok senkit egy ideig a hülyeségeimmel. A /var/log/faillog elvileg információkat tartalmazna a sikertelen bejelentkezési kísérletekről. Viszont a cat paranccsal nem nyitja meg, próbáltam a less paranccsal sikerült, de szerintem titkosított lehet a tartalma mert tele van @-jelekkel, és az egész egy nagy katyvasz. Ez miért van? Normálisan így kell lennie, vagy valaki átírta, titkosította ebben a fájlban a logokat?
2019. febr. 8. 15:29
 9/10 anonim ***** válasza:

/var/log/faillog egy speciális fájl, direkt nem olvasható.

Kezelése a faillog paranccsal

[link]

kivitelezhető.

2019. febr. 8. 15:50
Hasznos számodra ez a válasz?
 10/10 anonim ***** válasza:

Bejelentkezéseket pl. az auth.log-ban láthatsz. Egy sikerese ssh login így fest:

Feb 8 16:30:24 Machine-Name sshd[10188]: Accepted password for **** from 109.69.***.*** port 54723 ssh2


Egy helyi bejelentkezés sddm-en keresztül:


Feb 8 07:30:32 Machine-Name sddm-helper: pam_unix(sddm-greeter:session): session opened for user sddm by (uid=0)

Feb 8 07:30:32 Machine-Name systemd-logind[574]: New session 3 of user sddm.

Feb 8 07:30:33 Machine-Name systemd: pam_unix(systemd-user:session): session opened for user sddm by (uid=0)


Egy su kiadása terminálon keresztül:


Feb 8 17:35:16 Machine-Name su: (to root) username on pts/3


(Néhány adatot kicsillagoztam).

2019. febr. 8. 18:17
Hasznos számodra ez a válasz?

Kapcsolódó kérdések:

Számítástechnika főkategória kérdései »
Számítástechnika - Biztonság kategória kérdései »



Minden jog fenntartva © 2025, www.gyakorikerdesek.hu
GYIK | Szabályzat | Jogi nyilatkozat | Adatvédelem | Cookie beállítások | WebMinute Kft. | Facebook | Kapcsolat: info(kukac)gyakorikerdesek.hu

A weboldalon megjelenő anyagok nem minősülnek szerkesztői tartalomnak, előzetes ellenőrzésen nem esnek át, az üzemeltető véleményét nem tükrözik.
Ha kifogással szeretne élni valamely tartalommal kapcsolatban, kérjük jelezze e-mailes elérhetőségünkön!