Конфигурирование системы journald для отслеживания системы безопасности

Размещено на http://www.allbest.ru/

Конфигурирование системы journald для отслеживания системы безопасности

Имамова Э.И.

Аннотация

В данной статье рассмотрено изучение системы журналирования journald в контексте мониторинга безопасности. Понимание, как данный домен работает, и его правильное конфигурирование напрямую влияют на то, насколько будет эффективна и безопасна система. Настраивание journald с нюансами работы домена и возможным использованием его для отслеживания событий системы безопасности. Объектом исследования будет являться система журналирования в операционных системах linux. Область знаний охватывает инструменты сбора, хранения и анализа логов системных событий, а также затрагивает их роль в обеспечении безопасности систем

Ключевые слова: логирование, журналирование journald, параметры journald, обеспечения безопасности систем.

Abstract

Configuring the journald system for security tracking

Imamova E.I.

This article examines the study of the journald logging system in the context of security monitoring. Understanding how this domain works and its proper configuration directly affect how effective and secure the system will be. Configuring journald with the nuances of the domain and its possible use for tracking security system events. The object of the study will be the logging system in linux operating systems. The field of knowledge covers tools for collecting, storing and analyzing system event logs, as well as their role in ensuring system security

Keywords: logging, journald logging, journaldparameters, system security.

Логирование достаточно важный инструмент в работе любой системы, оно необходимо для управления, диагностики и обеспечения безопасности систем. Если описать более точно, то с помощью логирования можно отслеживать признаки подозрительной активности, например, сетевые запросы, изменения в файлах системы, неудачные попытки входа, которые могут нести угрозу системе. Это значит, что можно на более раннем этапе обнаружить атаки или компрометацию системы, что позволяет повысить шансы минимизации или предотвращения ущерба.

Определим значения каждого параметра конфигурационного файла journald.conf в контексте мониторинга безопасности.

Storage, он определяет место хранения журналов - либо на диске, либо в оперативной памяти. Для параметра storage лучше выставить значение persistent, ведь логи будут хранится на накопителе. Если каталога /var/log/journal не будет, то journald создаёт его.

Параметр Compress, означает сжатие журнальных файлов для экономии места на диске. Экономия пространства даёт возможность хранить логи дольше, что может в дальнейшем повлиять на анализ инцидента и аудита. Также благодаря меньшему размеру упрощается архивация и резервное копирование.

Следующий параметр Seal, он является параметром шифрования сообщений. Будет включена защита Forward Secure Sealing (FSS), которая позволяет накладывать криптографические отпечатки на журнал системных логов. Forward Secure Sealing (FSS) -- это функция в системном журнале, предназначенная для обнаружения фальсификации файлов журнала. Учитывая, что злоумышленники часто пытаются скрыть свои действия, изменяя или удаляя записи в файле журнала, FSS предоставляет администраторам механизм для выявления любых таких несанкционированных изменений.

Параметр SystemMaxUse предотвращает ситуации переполнения диска журналами, что мешает нормальной работе системы, с другой стороны, при маленьком значении это может привести к потере старых логов, которые могут быть важны для безопасности. Параметр SystemKeepFree помогает избежать ситуаций с недостатком свободного места на диске, которые могут привести к сбоям в системе безопасности. SystemMaxFiles ограничивает количество журналов, которые могут быть сохранены в системе.

Параметр SyncIntervalSec задаёт интервал времени, после которого журналы будут синхронизироваться с диском. Данный параметр регулирует отношение производительности системы, возможности оперативного отслеживания и надёжности.

RateLimitInterval устанавливает время, в течение которого journald будет отслеживать сообщения, значение выставляется с различными единицами измерения начиная от микросекунд заканчивая часами. RateLimitBurts в свою очередь определяет сколько сообщений будет принято. В случае если сообщение выходит за рамки установленных значений данных параметров, то сообщение отбрасывается. Они позволяют ограничивать поток сообщений, тем самым предотвращая переполнение, что повышает возможности в анализе важных событий, связанных с безопасностью.

MaxRetentionSec= устанавливает максимальный срок хранения записей в журнале. С помощью данного параметра определяется, после какого времени старые записи будут автоматически удаляться. MaxFileSec= определяет максимальный срок хранения отдельного файла журнала до его автоматического удаления. Данный параметр позволяет указать максимальный срок хранения всех журналов, при превышении указанного времени файлы удаляются.

ForwardToSyslog= управляет перенаправлением журналов в системный журнал syslog. Параметр позволяет перенаправить туда все собранные сообщения. Перенаправление может улучшить процесс мониторинга и анализа событий безопасности. Необходимости изменения данного параметра для ознакомления нет, так как на данный момент взаимодействие с syslog рассматриваться не будет. ForwardToWall= перенаправляет журналы на все терминалы пользователей. Параметр выводит сообщение на все активные терминалы пользователей при возникновении критического события, сбоя в сети, проблем с безопасностью. Используется для общего оповещения.

Также необходимо отметить, что journald хранит логи в двоичном формате. Двоичный формат обеспечивает более быстрый доступ к данным и дополнительный уровень безопасности, так как логи труднее подделать или изменить без соответствующих инструментов и прав. Двоичный формат улучшает производительность и безопасность, но, с другой стороны, требуется специальный инструмент для чтения логов. Один из инструментов для работы с логами - journalctl, он тесно связан с работой journald. Если journald - домен, который отвечает за сбор и хранение, то journalctl - утилита, которая используется для просмотра и анализа журналов journald.

В целом, роль journald в современных информационных системах, подчеркивая его важность как в управлении логами, так и в обеспечении безопасности. Определение будущих направлений исследований в этой области открывает возможности для дальнейшего улучшения и оптимизации систем журналирования и безопасности.

linux журналирование journald безопасность

Список литературы

1. ALT Linux Team. Официальный сайт ALT Linux;

2. FreeDesktop.org. systemd-journald.service;

3. Server-GU. systemd-journald: работа с журналом системы;

4. Хабр. Глубокое погружение в systemd-journald;

5. Уймин А.Г. Технические средства информатизации: Практикум для СПО / А.Г. Уймин. - Саратов, Москва: Профобразование, Ай Пи Ар Медиа, 2023. - 434 с.

Размещено на Allbest.ru