книги хакеры / журнал хакер / 142_Optimized
.pdf
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
i |
|
|
F |
|
|
|
|
|
|
|
i |
|
||
|
|
|
|
|
|
|
|
t |
|
|
|
|
|
|
|
|
|
t |
|
||||
P |
D |
|
|
|
|
|
|
|
|
o |
P |
D |
|
|
|
|
|
|
|
|
o |
||
|
|
|
|
NOW! |
r |
|
|
|
|
NOW! |
r |
||||||||||||
|
|
|
|
|
BUY |
|
|
|
|
|
|
|
BUY |
|
|
||||||||
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
|
to |
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
w |
|
|
|
|
|
|
|
|
|
m |
w |
|
|
|
|
|
|
|
|
|
m |
||
w Click |
|
|
|
|
|
|
o |
w Click |
|
|
|
|
|
|
o |
||||||||
|
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
||
|
. |
|
|
|
|
|
|
.c |
|
|
. |
|
|
|
|
|
|
.c |
|
||||
|
|
p |
df |
|
|
|
|
e |
|
|
|
p |
df |
|
|
|
|
e |
|
||||
|
|
|
|
|
g |
|
|
|
|
|
|
|
|
g |
|
|
|
||||||
|
|
|
|
|
n |
|
|
|
|
|
|
|
|
|
n |
|
|
|
|
||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
граждане начинают понимать, что они ничего не понимают из того, |
Что делать с контрафактом? |
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
что написано в законе и спешат к адвокату (или хотя бы на веб-форум |
Поняв, что идет кампания по борьбе за вступление в ВТО соблюдение |
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
юристов) за разъяснениями. Это — первая ступень просветления. До |
авторских прав, и, видя, что снаряды ложатся все ближе, представите- |
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
второй доживают не все... |
ли нашей с тобой профессии начали проявлять беспокойство. Читаем |
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
Легенда о дисклеймере |
ЖЖ и форумы: вчера взяли Пупкина, сегодня была проверка у Хлюп- |
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
кина, а завтра назначен суд у Занупкина, и он лихорадочно занимает |
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
Другая легенда, которая имеет хождение среди технарей — это |
денег на адвоката. Поневоле сисадмин задумывается — а каковы его |
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
легенда о волшебном слове — о дисклеймере. Суть мифа заключается |
собственные риски? |
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
в том, что, якобы, можно переложить ответственность, а то и вовсе |
Даже если сисадмин откажется сам инсталлировать контрафакт, |
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
избежать ее путем написания «волшебных слов». Таких как «не несет |
ему наверняка придется иметь дело с «наследством». Или с самодея- |
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
ответственности», «оставляет за собой право» или «отказывается |
тельностью пользователей. Как уже упоминалось, нарушением |
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
от гарантий». Возможно, в детском саду подобное «чур» считается |
закона является неразрешенное правообладателем воспроизведение |
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
достаточным основанием, но во взрослой жизни ответственность в |
программы. Здесь «воспроизведение» — это юридический термин, не |
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
большинстве случаев (а уголовная и административная ответствен- |
имеющий ничего общего с кнопкой «play». Юридическое воспроизве- |
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
ность — во всех случаях; это называется «принцип законности») |
дение соответствует кнопке «record». Для компьютерных программ |
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
определяется законом и не может быть возложена, передана или |
воспроизведение — это инсталляция. Запуск же программы на |
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
отведена путем заключения двустороннего договора. Тем более — |
исполнение воспроизведением не считается. Но может считаться |
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
одностороннего заявления. |
иным использованием объекта интеллектуальной собственности |
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
Тем не менее, вера в волшебное «чур» слишком сильна, чтобы от- |
(правда, по этому поводу у юристов не сложилось единого мнения). То |
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
казаться от нее на том смехотворном основании, что это, дескать, |
есть, однозначно виноват лишь тот, кто программу инсталлировал. В |
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
противоречит закону. Если верующему сказать, что бога нет, |
теории. На практике бывает по-разному. |
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
он вряд ли превратится в тот же миг в атеиста. Еще и обидеться |
Когда начинается расследование, вину могут возложить не на того, |
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
может. Так и сисадмины, обращаясь к правоведам за консультация- |
кто когда-то инсталлировал контрафактный софт, а на того, кто ныне |
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
ми, упорно спрашивают, что бы им такого хитровыкрученного |
его обслуживает. Во-первых, на время инсталляции могут не обратить |
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
написать в дисклеймере, договоре, лицензионном соглашении, |
внимания, ограничившись свидетельскими показаниями. Во-вторых, |
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
расписке, чтобы не отвечать за нарушения авторских прав? Ты |
запуск и обслуживание контрафактных программ также могут при- |
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
им объясняешь про принцип законности, а они снова: «Так что же |
знать их использованием, то есть нарушением авторских прав. |
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
надо написать?». |
Так произошло в одном деле, где автор выступал в качестве консуль- |
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
«Договориться» с законом нельзя. Можно — с его представителями. |
танта. Следователь вызвал на допрос всех работников и выбрал пока- |
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
Иногда. Если у них уже выполнен план по поимке «пиратов». Любые |
зания тех из них, кто сказал, что «весь софт в офисе устанавливал наш |
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
договоры, расписки, дисклеймеры и прочие «чур, не нарушение» |
сисадмин». Трех свидетелей с лихвой хватило для обвинительного |
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
не сработают. Хуже того — послужат доказательством умысла или |
приговора. С седой древности свидетельские показания — это дока- |
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
сговора. |
зательство номер один (не считая «царицы», разумеется). Со времен |
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
XÀÊÅÐ 11 /142/ 10 |
123 |
|
|
|
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
C |
|
E |
|
|
|
|||||||
|
|
X |
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
|||||||
|
- |
|
|
|
|
|
d |
|
|
- |
|
|
|
|
|
|
|
d |
|
||||
|
F |
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
o |
P |
|
|
|
|
|
|
|
NOW! |
o |
||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
BUY |
|
|
|
|
|
|
|
|
|
BUY |
|
|
||||||
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
|
to |
|
|
|
|
|
|
||
w Click |
|
|
|
|
m |
w Click |
|
|
|
|
|
|
m |
||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||||
w |
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
|
|
g |
.c |
|
||||
|
|
p |
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
|
|
|||
|
|
|
df |
|
|
n |
e |
|
|
|
|
d |
|
f |
|
|
n |
e |
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
отношение |
|
собственность |
|
Собственность |
||
|
|
|
|
|
|
|
когда возникло |
|
ранее 4000 гю до н. э. |
|
примерно в XVII веке н. э. |
||
|
|
|
|
|
|
|
где провозглашается |
ст. 35 конституции РФ |
|
ч. 1 ст. 44 Конституции РФ |
|||
|
|
|
|
|
|
|
чем является |
естественным правом человека |
|
искусственной монополией (привилегией) |
|||
|
|
|
|
|
|
|
общественная опасность нарушения |
|
прямой ущерб |
|
недополученная прибыль |
||
|
|
|
|
|
|
|
термины |
|
собственник, владелец; |
|
|
правообладатель; |
|
|
|
хищение, мошенничество, кража, грабеж, разбой |
|
|
нарушение авторских прав, плагиат, (пиратство) |
|
|
|
|
|
|
|
|
отношение к морали |
присутствие во всех этнических системах и религиях |
только начинается вводиться в мораль (сконца XX века) |
||||
|
|
|
|
|
|
|
Собственность и интеллектуальная собственность
записки, прохождение которой обязательно задокументировать: |
себя вину подчиненного. А вот в преступной группе, каковую вы |
отметка канцелярии на втором экземпляре, входящий номер или |
со своим начальником составляете (один приказывает совершать |
хотя бы пара свидетелей. По бухгалтерским документам следует |
преступление, другой исполняет), моральные нормы иные. Пахан |
установить, что из используемого софта является нелицензи- |
всегда пожертвует сявкой. Да, он приказывал, но он — на то и |
онным, а что из этого действительно необходимо для работы. |
пахан, чтобы приказывать. А вина будет свалена на шестерку, по- |
Замечу, что лицензионность/контрафактность программ — это |
тому она так и называется — шестерка. Когда попадается, выбор у |
не техническая характеристика и не может быть установлена ана- |
нее не очень широк: признать единоличную вину или попытаться |
лизом самих программ. Лицензионная отличается только тем, что |
заодно утащить с собой пахана. Варианта «избежать ответствен- |
за нее уплачены деньги (или заключен безвозмездный лицензион- |
ности» нет. Для этого не надо было участвовать в шайке. |
ный договор). Поэтому установить [не]лицензионность программ |
Так что соблюсти закон и не поссориться с главарем преступной |
без помощи бухгалтера трудно. |
группы — цели несовместимые. |
Лучше всего оформить эту инвентаризацию актом с участием |
Как уйти красиво (и безопасно)? |
бухгалтера (себе оставить копию). Затем подать по инстанциям |
|
заявку/спецификацию на приобретение недостающих лицензий |
Если устранение нарушений авторских прав невозможно или |
или план перехода на свободный софт. После этого можно начи- |
экономически нецелесообразно, а риск не соответствует опла- |
нать действовать. |
те — надо уходить. И, уходя, оборвать ниточки, за которые тебя |
Но есть один нюанс. Докладная записка «у нас контрафактный |
впоследствии могли бы притянуть к чужим нарушениям. |
софт, прошу дать денег на лицензии» сыграет в твою пользу, толь- |
Как уже указывалось, текущий сисадмин является наиболее удоб- |
ко если ты в дальнейшем предпримешь действия по исправлению |
ным кандидатом в подозреваемые. Его предшественник — не |
ситуации. Если же ограничишься информированием начальства |
самый удобный, но вероятный, особенно если текущий только- |
о факте, то записка выступит не оправданием, а доказательством |
только вступил в должность и свалить на него слишком многое |
преступного сговора: начальник приказывал нарушать авторские |
будет затруднительно. Тем более, если твой преемник догадался |
права, сисадмин знал о нарушении и исполнял этот заведомо неза- |
оформить принятие дел актом с указанием всех компьютеров и |
конный приказ. А исполнение заведомо незаконного приказа (ч. 2 |
перечнем установленного на них ПО. Понял намек? Да, инвен- |
ст. 42 УК) не освобождает от ответственности. |
таризация софта будет полезна как при поступлении, так и при |
После совершения упомянутых «предупредительных выстрелов» |
увольнении. Только в отличие от материальных ценностей, надо |
можно сносить весь незаконный софт. |
постараться, чтобы при приеме хозяйства в ведомости оказалось |
Некоторые деятели предпочитают иной вариант: «самому напи- |
как можно больше, а при сдаче дел — как можно меньше. |
сать заявление в правоохранительные органы, не дожидаясь, ког- |
Увольнение с конфликтом — хороший повод постижения на |
да на тебя донесут другие». Такое заявление не станет индульген- |
практике утверждений из первого параграфа данной статьи. |
цией, если вы сами приложили руки к установке нелицензионного |
Помни, что ты — технарь, а твои противники — управленцы |
софта; в этом случае оно будет иметь статус «явки с повинной», |
(бюрократы, если угодно). Не пытайся играть и не надейся выиг- |
сильно смягчит наказание, но освобождение от ответственности |
рать на их поле и по их правилам. Если не удалось договориться, |
не гарантирует. Автор не является поклонником доноса на собс- |
обратись к адвокату. Вошедшая в анекдоты западная привычка |
твенное предприятие, в основном по моральным соображениям. Я |
подключать юриста по любому поводу возникла не от хорошей |
бы предпочел пресечь правонарушение собственными руками. |
жизни. А от того, что неискушенных людей много и часто под- |
Айтишники, обратившиеся за юридической консультацией, |
ставляли. |
часто ставят вопрос таким образом: «как прекратить наруше- |
Заключение |
ния, избавиться от риска, но при этом не испортить отношения с |
|
начальством»? Такой постановки автор не приемлет. Для нормаль- |
Не похоже, чтобы в ближайшие годы накал борьбы за авторские |
ного начальства в нормальной лавке факт нарушения авторских |
права начал ослабевать. Тенденции намекают на то, что план по |
прав — вполне достаточный аргумент, после которого босс станет |
146-й статье снижаться не будет. После вылавливания довер- |
помогать тебе избавиться от контрафакта. Если же не помогает |
чивых «черных инсталляторов» правоохранительные органы |
(и пуще того, запрещает удалять пиратку, а денег на лицензию не |
плотнее возьмутся за офисы. А потом, может быть, и за домашних |
дает), то это не предприятие, а организованная преступная груп- |
пользователей. Так что риски дорожают, а желание предприни- |
па, в просторечии именуемая шайкой. Вступил в шайку — принял |
мателей перевалить их на сисадминов становится все сильнее. |
риск. Разумеется, в среде благородных рыцарей командир берет на |
Предохраняйся! z |
|
|
XÀÊÅÐ 11 /142/ 10 |
125 |
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
i |
|
|
|
|
F |
|
|
|
|
|
|
|
i |
|
||
|
|
|
|
|
|
|
|
t |
|
|
|
|
|
|
|
|
|
|
|
t |
|
||||
P |
D |
|
|
|
|
|
|
|
|
o |
|
|
P |
D |
|
|
|
|
|
|
|
|
o |
||
|
|
|
|
NOW! |
r |
|
|
|
|
|
NOW! |
r |
|||||||||||||
|
|
|
|
|
BUY |
|
|
SYN/ACK |
|
|
|
|
|
|
BUY |
|
|
||||||||
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
|
|
to |
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
Евгений Зобнин zobnin@gmail.com |
|
|
|
|
|
|
|
|
|
|
|
|
||
w |
|
|
|
|
|
|
|
|
|
m |
|
w |
|
|
|
|
|
|
|
|
|
m |
|||
w Click |
|
|
|
|
|
|
o |
|
|
w Click |
|
|
|
|
|
|
o |
||||||||
|
w |
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
||
|
. |
|
|
|
|
|
|
.c |
|
|
|
|
. |
|
|
|
|
|
|
.c |
|
||||
|
|
p |
df |
|
|
|
|
e |
|
|
|
DVD |
|
p |
df |
|
|
|
|
e |
|
||||
|
|
|
|
|
g |
|
|
|
|
|
|
|
|
|
g |
|
|
|
|||||||
|
|
|
|
|
n |
|
|
|
|
|
|
|
|
|
|
n |
|
|
|
|
|||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Пингвин |
Нанашемдискетынайдешьпример |
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
рабочегофайлаправилauditd, |
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
которыйсможешьиспользоватьна |
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
своемсервереподуправлением |
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
Debian/Ubuntu. |
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
подколпаком |
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
Аудит системных событий в Linux |
|
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
Грамотная после-установочная настройка Linux-дистрибутива — лишь первый шаг на пути |
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
к безопасности и стабильности. Чтобы операционная система и дальше продолжала отвечать |
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
этим требованиям, придется приучить себя к постоянному слежению за ее состоянием. |
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
Этого можно достичь с помощью мониторинга и анализа лог-файлов, однако получение полного |
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
контроля над системой возможно только с помощью аудита системных событий. |
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
ПЕРЕД ТЕМ КАК ПЕРЕЙТИ К ОСНОВНОЙ ЧАСТИ СТАТЬИ, ПОСТАРАЕМСЯ |
auditctl — утилита, управляющая поведением системы аудита. |
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
РАЗОБРАТЬСЯ С ТЕМ, ЧТО ЖЕ ВСЕ-ТАКИ ПРЕДСТАВЛЯЕТ СОБОЙ СИС- |
Позволяет узнать текущее состояние системы, добавить или удалить |
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
ТЕМНЫЙ АУДИТ (ИЛИ АУДИТ СИСТЕМНЫХ СОБЫТИЙ). По самой своей |
правила; |
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
сути это не что иное, как постоянное и подробное протоколирование |
autrace — аудит событий, порождаемых указанным процессом (ана- |
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
любых событий, происходящих в операционной системе. Аудиту |
ëîã strace); |
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
могут быть подвержены такие события, как чтение/запись файлов, |
ausearch — команда, позволяющая производить поиск событий в |
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
выполнение входа в ОС, запуск и остановка приложений, инициация |
журнальных файлах; |
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
сетевого соединения и многое, многое другое. Linux, как и любая |
aureport — утилита, генерирующая суммарные отчеты о работе сис- |
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
другая современная серверная ОС, включает в себя все необходимые |
темы аудита; |
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
инструменты для проведения аудита системы, однако разобраться в |
Поумолчаниюсистемааудитанаходитсявспящемсостоянииинереаги- |
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
них с наскоку не так-то просто. |
руетнинакакиесобытия(тыможешьубедитьсявэтом,выполнивкоман- |
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
Система аудита ядра 2.6 |
ду«sudoauditctl-l»).Чтобызаставитьсистемусообщатьнамподробности |
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
каких-либособытий,необходимодобавитьправила.Ночтобыпонять, |
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
Начиная с версии 2.6, ядро Linux включает в себя подсистему, специ- |
какихсоставлять,придетсяразобратьсястем,какработаетподсистема |
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
ально разработанную для проведения аудита. Она позволяет вести |
аудитаядраLinux. |
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
слежение за такими системными событиями, как: |
Аудит системных событий |
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
• Запуск и завершение работы системы (перезагрузка, остановка); |
Ниоднособытиевлюбойоперационнойсистеменеможетпроизойти |
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
• Чтение/запись или изменение прав доступа к файлам; |
безиспользованиясистемныхвызововядра.Запускновогопроцесса,от- |
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
• Инициация сетевого соединения или изменение сетевых настроек; |
крытиефайловиработасними,запросвремениилитипаОС,обращение |
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
• Изменение информации о пользователе или группе; |
коборудованию,созданиесетевогосоединения,выводинформациина |
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
• Изменение даты и времени; |
экран—всеэтиоперациипроизводятсяспомощьюобращениякфункци- |
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
• Запуск и остановка приложений; |
ямядраоперационнойсистемы,длякраткостиназываемыхсистемными |
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
• Выполнение системных вызовов. |
вызовами.Еслиприложениенеприбегаетвсвоейработеквызовамядра, |
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
онооказываетсязамкнутымвсамомсебеипростонеспособноккакому- |
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
На деле этот список гораздо длиннее, но другие типы событий не |
либовзаимодействиюсосвоимокружением,неговоряужеопользовате- |
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
представляют для нас практического интереса. Кроме самого факта |
ле.Следовательно,чтобыотследитьлюбоесистемноесобытие,достаточ- |
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
возникновения события, система аудита представляет такую инфор- |
нопростоперехватыватьвсеобращенияксистемнымвызовам. |
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
мацию, как дата и время возникновения события, отвественность |
Именноэтоделаетподсистемааудита.Онаустанавливаеттриггерыдо |
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
пользователя за событие, тип события и его успешность. Сама по себе |
ипослевсехфункций,ответственныхзаобработкусистемныхвызо- |
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
она способна лишь сообщать о произошедшем событии, тогда как |
вов,иждет.Когдапроисходитсистемныйвызов,триггерсрабатывает, |
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
процесс журналирования возлагается на плечи демона auditd. |
подсистемааудитаполучаетвсюинформациюовызовеиегоконтексте, |
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
Установка |
передаетеедемонуauditdиотдаетдальнейшееуправлениефункции, |
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
обрабатывающейсистемныйвызов.Послееезавершениясрабатывает |
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
Демон auditd доступен в любом современном Linux-дистрибутиве и |
«выходной»триггер,ивсяинформацияосистемномвызовевновьпосту- |
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
может быть установлен с помощью стандартного менеджера пакетов. |
паеткподсистемеаудитаидемонуauditd. |
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
Например, чтобы установить auditd в Debian/Ubuntu, достаточно âû- |
Естественно,держатьвсеэтитриггерывактивномсостояниивсевремя |
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
полнить следующую команду: |
работыОСнакладноислишкомизбыточно(толькововремястарта |
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
приложениеможетвыполнитьнесколькотысячсистемныхвызововидля |
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
$ sudo apt-get install auditd |
полногоанализажурналааудитапридетсяубитьуймувремени).Поэтому |
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
поумолчаниютриггерыотключеныимогутбытьвыборочноактивиро- |
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
Кроме самого демона, вместе с пакетом будут установлены три подсоб- |
ваныспомощьюправил,которыезадаютимясистемноговызова,его |
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
ные утилиты, используемые для управления системой аудита и поиска |
успешность,пользователя,отименикоторогопроизошелвызовит.д. |
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
записей в журнальных файлах: |
Благодаря такой нехитрой схеме, системный администратор может |
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
126 |
|
XÀÊÅÐ 11 /142/ 10 |
|
|
|
|
|
|
|
|
|