Целостность файлов журналов

Целостность файлов журналов
Пред.	Глава 1. Журналы системы	След.

Лабораторная работа посвящена организации контроля целостности файлов журналов.

Инсталляция и конфигурирование msyslog

Проинсталлировать и настроить программу msyslog так чтобы она выполняла криптографическую защиту сообщений

Инсталляция.
Проинсталлируйте программу msyslog принятым в операционной системе способом.
Выключение других демонов системных журналов.
Убедитесь, что другие демоны системных журналов, такие как syslog и syslog-ng выключены.
Измените конфигурационный файл syslog.conf.
Замените в конфигурационном файле syslog.conf строки
```
*.info;mail.none;authpriv.none  /var/log/messages
authpriv.*                      /var/log/secure
```
строками
```
*.info;mail.none;authpriv.none %peo -l -m md5 
	-k /var/ssyslog/.var.log.messages.key %classic /var/log/messages
authpriv.* %peo -l -m md5 
	-k /var/ssyslog/.var.log.secure.key %classic /var/log/secure
```
Файлы .var.log.messages.key и .var.log.secure.key должны содержать ключи, использующиеся для шифрования.
Очистка журналов
Очистите файлы журналов, которые вы собираетесь защищать:
```
# > /var/log/messages
# > /var/log/secure
```
Создание ключей для подписи журнальных сообщений
Создайте каталог, в котором будут храниться ключи:
```
# mkdir /var/ssyslog
```
С помощью программы peochk создайте ключи, которые будут использоваться для подписи журнальных сообщений.
```
# /usr/local/sbin/peochk -g -f /var/log/messages -i messagekey0 -m md5
# /usr/local/sbin/peochk -g -f /var/log/secure -i securekey0 -m md5
```
В результате выполнения команд будут сгенерированы ключи для каждого из журналов. Текстовое представление ключей будет записано в файлы messagekey0 и securekey0, а бинарное – в файл /var/ssyslog/.var.log.messages.key и /var/ssyslog/.var.log.messages.key соответственно.

Сохранение копии ключей в надёжном месте.

Предостережение

	Предостережение
Обязательно удалите файлы `messagekey0` и `securekey0` из системы. Если файлы `messagekey0`, `securekey0` останутся в системе, журнал можно будет легко подделать и перегенировать подпись и, таким образом, проверка целостности журнала окажется бесполезной.

Обязательно удалите файлы messagekey0 и securekey0 из системы. Если файлы messagekey0, securekey0 останутся в системе, журнал можно будет легко подделать и перегенировать подпись и, таким образом, проверка целостности журнала окажется бесполезной.

Проверка целостности
Выполнить проверку целостности журналов можно следующим образом:
```
# /usr/local/sbin/peochk -m md5 -i messagekey0 -f /var/log/messages
# /usr/local/sbin/peochk -m md5 -i securekey0 -f /var/log/secure
```
Нарушение целостности
Вручную модифицируйте файл журнальных сообщений.
Повторная проверка целостности
Выполнить проверку целостности журналов можно следующим образом:
```
# /usr/local/sbin/peochk -m md5 -i messagekey0 -f /var/log/messages
# /usr/local/sbin/peochk -m md5 -i securekey0 -f /var/log/secure
```
Убедитесь, что проверка целостности обнаружила изменения в файле

Таблица 1.2. Программы криптографической защиты системных журналов

Программа	Описание
`peochk`	программа генерирования начальных ключей и проверки целостности журнала
`peo`	модуль для криптографической защиты журналов

Таблица 1.3. Ключи программы peochk

Ключ	Описание
`-f`	путь к файлу журнала
`-g`	сгенерировать ключ и записать его в бинарном и текстовом виде
`-h`	справка
`-i`	путь к начальному ключу
`-k`	файл начального ключа
`-l`	найти первую повреждённую строку
`-m`	использовать заданный хэш: md5, sha1 или rmd160
`-q`	молчаливый режим

Таблица 1.4. Ключи программы peo

Ключ	Описание
`-k`	использовать ключ в указанном файле
`-l`	режим обнаружения повреждённых линий
`-m`	использовать заданный хэш: md5, sha1 или rmd160

Пред.	Уровень выше	След.
Доступ к журналам системы через web-интерфейс	Начало	Глава 2. Контроль безопасности операционной системы