Лабораторная работа № 8

«Наблюдение и аудит в ОС Linux»

1. Зарегистрируйтесь в системе в консольном режиме с правами root. Намеренно сделайте несколько ошибок при вводе пароля, чтобы «отметиться» в журналах аудита.

2. С помощью команды md5sum вычислите и запишите контрольную сумму для одного из файлов в каталоге /home/user1/qu1. C помощью команды echoдобавьте один символ в этот файл:

echo a >>/home/user1/qu1/jan

Вновь вычислите контрольную сумму файла и сравните два результата.

3. С помощью команды md5sum вычислите и запишите в файл контрольную сумму всех файлов в каталоге /bin.

4. С помощью команды find найдите в корневом каталоге файлы:

· имеющие атрибуты SUID (find / -perm +4000);

· имеющие атрибуты SGID (find / -perm +2000);

· файлы, которые разрешено модифицировать всем:

find / -type f -perm +2 ;

· файлы, не имеющие владельца(find / -nouser);

· файлы и каталоги, имеющие UID незарегистрированных в системе пользователей.

Объясните, какой интерес могут представлять для администратора указанные категории файлов?

5. Путем просмотра процессов убедитесь в том, что системный сервис syslogd запущен. В целях контроля его действий найдите в журналах аудита записи о попытках своего входа в систему (это может быть файл secure или auth в каталоге /var/log).

6. С помощью команды grep найдите уязвимые учетные записи в файле паролей:

· имеющие числовые идентификаторы суперпользователя и его группы: UID=0 и GID=0;

· имеющие право на вход в систему без ввода пароля (отсутствующее второе поле в виде ::).

Если у вас есть проблемы с вводом команды и установкой соответствующих фильтров, вы можете просто внимательно просмотреть содержимое файла паролей /etc/passwd.

7. С помощью команды id user_name посмотрите список основной и дополнительных групп пользователей. Найдите дополнительные группы floppy, cdrom и plugdev, дающие право использовать сменные машинные носители /etc/cdrom, /etc/fd0 и т.д. для бесконтрольного блочного копирования данных.