Иллюстрированный самоучитель по Secure Web


Журналы консольных сообщений


Утилита conlog.nlm предоставляет возможность записи консольных сообщений и ошибок, например о выявлении вторжений и блокировании учетных записей. Получив доступ к утилите rconsole, взломщик без проблем может ввести команду unload conlog, отключив режим регистрации сообщений в файле, а затем снова включить этот режим и возобновить запись сообщений в совершенно новый файл console.log. При этом предыдущий файл удаляется, а вместе с ним и все записанные ошибки и сообщения. Грамотный системный администратор должен рассматривать такую ситуацию как попытку взлома. К сожалению, на практике ее иногда относят к разряду необъяснимого.

Системные ошибки и сообщения, генерируемые в процессе загрузки сервера и выполнения им операций, постоянно регистрируются в файле SYS: SYSTEMX sysSerr.log. Обладая привилегиями администратора, взломщик способен отредактировать этот файл и удалить из него сообщения, связанные с его деятельностью, включая блокирование используемой им учетной записи.

Контрмеры против редактирования журналов регистрации


Следите за изменениями файлов console.log и sysSerr.log. Порекомендовать какие-либо простые способы защиты нельзя. Контролируйте администраторов (или взломщиков), которые знают о том, что решаемая ими задача может оказаться неразрешимой. И проверяйте содержимое файлов журналов в надежде на то, что в них найдут отражение сообщения об отключении системы аудита.

1. Запустите утилиту SYS: PUBLlCXauditcon.

2. Выберите команду Audit configuration.

3. Выберите команду Audit by file/Directory.

4. Найдите файлы SYS:ETC\console.log и SYS:SYSTEM\sys$err.log.

5. Выделите каждый из файлов и нажмите клавишу <F10>, чтобы подключить систему аудита и приступить к записи сообщений.

6. Выйдите из утилиты auditcon.

"Потайные ходы"


Самым эффективным "потайным ходом" системы NetWare является то, чего вы никогда не сможете добиться самостоятельно,— "осиротевшие" объекты (orphaned object). Использование скрытого объекта OU (Organizational Unit), содержащего пользователя с правами, эквивалентными администратору, и правами опекунства на свой собственный контейнер, позволит эффективно скрыть этот объект.



Начало  Назад  Вперед