Регистрация событий в ОС Linux

Регистрация событий в Linux:

на локальной машине и удаленно;

настраиваемые уровни регистрации событий;

настраиваемые файлы для хранения логов;

обеспечивается демоном syslogd (или rsyslogd);

все события собираются из сокета /dev/log, порта UDP - 514, а так же от "помощника" - демона klogd

Конфигурационный файл /etc/syslog.conf (или /etc/rsyslog.conf):

• главный конфигурационный файл для демона syslogd;

• содержит набор правил, которые в зависимости от источника события и приоритета данного источника определяют действия демона

Источники событий и приоритеты

Источники событий		Уровни приоритетов
0 -kern	9 - cron		0 - emergency
1 - user	10 - authpriv		1 - alert
2 - mail	11 - ftp		2 - critical
3 - daemon	12 - NTP		3 - error
4 - auth	13 - log audit		4 - warning
5 - syslog	15 -clock daemon		5 - notice
6 - lpr	с 16 по 23 local0 - local7		6 - info
7 - news (не используется)	mark (не имеющая цифрового эквивалента)		7 - debug
8 - uucp

 

Действием может быть:

• запись в обычный файл;

• использовать именованный канал (fifo) в качестве приемника сообщений;

• пересылать сообщения на терминал и консоль;

• пересылать сообщения на другие машины;

• пересылать сообщения определенным или всем пользователям

• Для журналирования событий ядра – отдельный демон klogd;

• Команда logrotate (демон cron) создает резервные копии журналов и новые чистые файлы журналов, кофигурируется файлом /etc/logrotate.conf;

• записи в журналах обычно содержат метку времени, имя хоста, на котором выполняется описываемый процесс, и имя процесса

Базовые механизмы защиты ОС MS Windows (перечень, назначение)

Идентификация и аутентификация с использованием различных механизмов

- Использование многофакторной аутентификации

- Аутентификация с использованием биометрии и устройств генерации одноразового пароля

- Легкий механизм создания нестандартных способов аутентификации

- Использование данных аутентификации для доступа к приложениям

Служба DirectAccess для обеспечения безопасности мобильных пользователей

- Прозрачное подключение к сети для мобильных пользователей

- Нет необходимости использовать соединение по VPN каналу

- Легкое администрирование машин, подключенных с помощью DirectAccess

- Использование протоколов IPsec для аутентификации и шифрования (возможно применение смарт-карт и интеграция с системой NAP)

Локальные и групповые политики безопасности

- Возможность применения нескольких локальных политик безопасности к одному компьютеру

- Гибкая настройка правил для пользователей

- Поддержка групповых политик безопасности для доменной структуры сети

Встроенные средства резервного копирования и восстановления

- Возможность архивации и восстановления как отдельных файлов и каталогов, так и всего раздела

- Ручной и автоматический режим работы

- Механизм теневого копирования

- Тесная интеграция с групповыми политиками

Клиент обновлений Windows Update с поддержкой сервера обновлений WSUS

- Обновления могут устанавливаться без участия пользователей

- Проверка цифровых подписей обновлений

- Интеграция со службой WSUS (Windows Server Update Services)

- Поддержка службы BITS (Background Intelligent Transfer Service) для повышенной надежности передачи файлов обновлений

Система регистрации событий Windows Event Architecture (логирование)

- Возможность гибкой настройки журналов событий

- Подписка на события

- Интеграция с оболочкой PowerShell

- Тесная интеграция с AD (Active Directory)

Встроенные механизмы защиты MS Windows- групповые и локальные политики безопасности

Локальные и групповые политики безопасности

- Возможность применения нескольких локальных политик безопасности к одному компьютеру

- Гибкая настройка правил для пользователей

- Поддержка групповых политик безопасности для доменной структуры сети