Имамова Э.И.
КОНФИГУРИРОВАНИЕ СИСТЕМЫ JOURNALD ДЛЯ ОТСЛЕЖИВАНИЯ СИСТЕМЫ БЕЗОПАСНОСТИ *
Аннотация:
в данной статье рассмотрено изучение системы журналирования journald в контексте мониторинга безопасности. Понимание, как данный домен работает, и его правильное конфигурирование напрямую влияют на то, насколько будет эффективна и безопасна система. Настраивание journald с нюансами работы домена и возможным использованием его для отслеживания событий системы безопасности. Объектом исследования будет являться система журналирования в операционных системах linux. Область знаний охватывает инструменты сбора, хранения и анализа логов системных событий, а также затрагивает их роль в обеспечении безопасности систем
Ключевые слова:
логирование, журналирование journald, параметры journald, обеспечения безопасности систем
Логирование достаточно важный инструмент в работе любой системы, оно необходимо для управления, диагностики и обеспечения безопасности систем. Если описать более точно, то с помощью логирования можно отслеживать признаки подозрительной активности, например, сетевые запросы, изменения в файлах системы, неудачные попытки входа, которые могут нести угрозу системе. Это значит, что можно на более раннем этапе обнаружить атаки или компрометацию системы, что позволяет повысить шансы минимизации или предотвращения ущерба. Определим значения каждого параметра конфигурационного файла journald.conf в контексте мониторинга безопасности. Storage, он определяет место хранения журналов – либо на диске, либо в оперативной памяти. Для параметра storage лучше выставить значение persistent, ведь логи будут хранится на накопителе. Если каталога /var/log/journal не будет, то journald создаёт его. Параметр Compress, означает сжатие журнальных файлов для экономии места на диске. Экономия пространства даёт возможность хранить логи дольше, что может в дальнейшем повлиять на анализ инцидента и аудита. Также благодаря меньшему размеру упрощается архивация и резервное копирование. Следующий параметр Seal, он является параметром шифрования сообщений. Будет включена защита Forward Secure Sealing (FSS), которая позволяет накладывать криптографические отпечатки на журнал системных логов. Forward Secure Sealing (FSS) — это функция в системном журнале, предназначенная для обнаружения фальсификации файлов журнала. Учитывая, что злоумышленники часто пытаются скрыть свои действия, изменяя или удаляя записи в файле журнала, FSS предоставляет администраторам механизм для выявления любых таких несанкционированных изменений. Параметр SystemMaxUse предотвращает ситуации переполнения диска журналами, что мешает нормальной работе системы, с другой стороны, при маленьком значении это может привести к потере старых логов, которые могут быть важны для безопасности. Параметр SystemKeepFree помогает избежать ситуаций с недостатком свободного места на диске, которые могут привести к сбоям в системе безопасности. SystemMaxFiles ограничивает количество журналов, которые могут быть сохранены в системе. Параметр SyncIntervalSec задаёт интервал времени, после которого журналы будут синхронизироваться с диском. Данный параметр регулирует отношение производительности системы, возможности оперативного отслеживания и надёжности. RateLimitInterval устанавливает время, в течение которого journald будет отслеживать сообщения, значение выставляется с различными единицами измерения начиная от микросекунд заканчивая часами. RateLimitBurts в свою очередь определяет сколько сообщений будет принято. В случае если сообщение выходит за рамки установленных значений данных параметров, то сообщение отбрасывается. Они позволяют ограничивать поток сообщений, тем самым предотвращая переполнение, что повышает возможности в анализе важных событий, связанных с безопасностью.MaxRetentionSec= устанавливает максимальный срок хранения записей в журнале. С помощью данного параметра определяется, после какого времени старые записи будут автоматически удаляться. MaxFileSec= определяет максимальный срок хранения отдельного файла журнала до его автоматического удаления. Данный параметр позволяет указать максимальный срок хранения всех журналов, при превышении указанного времени файлы удаляются. ForwardToSyslog= управляет перенаправлением журналов в системный журнал syslog. Параметр позволяет перенаправить туда все собранные сообщения. Перенаправление может улучшить процесс мониторинга и анализа событий безопасности. Необходимости изменения данного параметра для ознакомления нет, так как на данный момент взаимодействие с syslog рассматриваться не будет. ForwardToWall= перенаправляет журналы на все терминалы пользователей. Параметр выводит сообщение на все активные терминалы пользователей при возникновении критического события, сбоя в сети, проблем с безопасностью. Используется для общего оповещения.Также необходимо отметить, что journald хранит логи в двоичном формате. Двоичный формат обеспечивает более быстрый доступ к данным и дополнительный уровень безопасности, так как логи труднее подделать или изменить без соответствующих инструментов и прав. Двоичный формат улучшает производительность и безопасность, но, с другой стороны, требуется специальный инструмент для чтения логов. Один из инструментов для работы с логами – journalctl, он тесно связан с работой journald. Если journald – домен, который отвечает за сбор и хранение, то journalctl – утилита, которая используется для просмотра и анализа журналов journald.В целом, роль journald в современных информационных системах, подчеркивая его важность как в управлении логами, так и в обеспечении безопасности. Определение будущих направлений исследований в этой области открывает возможности для дальнейшего улучшения и оптимизации систем журналирования и безопасности.
Номер журнала Вестник науки №1 (70) том 3
Ссылка для цитирования:
Имамова Э.И. КОНФИГУРИРОВАНИЕ СИСТЕМЫ JOURNALD ДЛЯ ОТСЛЕЖИВАНИЯ СИСТЕМЫ БЕЗОПАСНОСТИ // Вестник науки №1 (70) том 3. С. 747 - 751. 2024 г. ISSN 2712-8849 // Электронный ресурс: https://www.вестник-науки.рф/article/12537 (дата обращения: 19.05.2024 г.)
Вестник науки СМИ ЭЛ № ФС 77 - 84401 © 2024. 16+