ПОДДЕРЖКА ЖУРНАЛИРОВАНИЯ ДЕЙСТВИЙ АДМИНИСТРАТОРОВ В РАМКАХ ИНФРАСТРУКТУРЫ SAMBA DC

​SUPPORT FOR LOGGING ADMINISTRATOR ACTIONS WITHIN THE SAMBA DC INFRASTRUCTURE

Daria Andrianova

student, Faculty of Integrated Safety of the Fuel and Energy Complex, Gubkin Russian State University of Oil and Gas (National Research University),

Russia, Moscow

Alexey Lazarev

student, Faculty of Integrated Safety of the Fuel and Energy Complex, Gubkin Russian State University of Oil and Gas (National Research University),

Russia, Moscow

АННОТАЦИЯ

В современных информационных системах важнейшей задачей является обеспечение безопасности и контроля над действиями пользователей с повышенными привилегиями, таких как системные администраторы. В статье рассматриваются методы и инструменты, применяемые для организации эффективного журналирования действий администраторов. Описаны основные подходы к настройке систем аудита и мониторинга, включая использование модулей аудита службы samba. Приведены примеры конфигураций и правил, которые позволяют детально отслеживать изменения в системе. Особое внимание уделяется интеграции систем журналирования с существующими инфраструктурами безопасности и мониторинга, а также обсуждаются вопросы производительности и надежности этих систем. Рассматриваются способы хранения и обработки журналов событий, включая использование централизованных систем. Полученные результаты могут быть полезны для специалистов в области информационной безопасности и системного администрирования.

ABSTRACT

In modern information systems, the most important task is to ensure security and control over the actions of users with elevated privileges, such as system administrators. The article discusses the methods and tools used to organize effective logging of administrator’s actions. The main approaches to configuring audit and monitoring systems are described, including the use of samba audit modules. Examples of configurations and rules that allow you to track changes in the system in detail are given. Particular attention is paid to the integration of logging systems with existing security and monitoring infrastructures, and issues of performance and reliability of these systems are discussed. The methods of storing and processing event logs, including the use of centralized systems, are considered. The results obtained can be useful for specialists in the field of information security and system administration.

Ключевые слова: журналирование действий, администраторы, системное администрирование, samba, аудит, мониторинг, конфигурация систем, центральное логирование, контроль доступа.

Keywords: logging of actions, administrators, system administration, auditd, samba, monitoring, system configuration, central logging, access control.

Введение.

В современном мире человека по всюду окружают информационные технологии. Поэтому для людей важно обеспечение безопасности и контроля над информацией. Журналирование действий администраторов играет важную роль в обеспечении безопасности, особенно в условиях “увеличения инсайдерских угроз” [1, с. 2].

Журналирование действий администраторов включает в себя процесс регистрации и анализа действий пользователей с повышенными привилегиями. Этот процесс позволяет следить за действиями пользователей, что обеспечивает безопасность системы.

Данный вопрос затрагивался в статьях различных авторов, связанных информационной безопасностью, таких как Князева Г.В., но по большей части он фигурирует в документациях ОС и постах анонимных авторов на Хабре и других электронных ресурсах.

В данной статье описываются основные принципы настройки Samba AD, а также рассматривается использование модулей аудита службы samba.

Данный эксперимент представляет базовые практики и методики, применяемые для обеспечения прозрачности и надежности журналов действий, а также рассматривает способы интеграции систем журналирования с существующими инфраструктурами безопасности. Эксперимент будет полезен для системных администраторов. Результаты и выводы этого исследования представляют собой ценный вклад в область информационной безопасности и системного администрирования, а также могут быть полезны для специалистов, занимающихся вопросами защиты информации.

Основные методы журналирования.

Журналирование действий администраторов является ключевым аспектом обеспечения безопасности и контроля над информационными системами. Оно позволяет отслеживать и регистрировать все действия, выполняемые администраторами и другими пользователями с повышенными привилегиями в системе. Ниже подробно расписаны основные методы и подходы к журналированию действий администраторов, включая использование модулей аудита службы samba:

1.Samba AD.

Samba AD (Active Directory) представляет собой интеграцию Samba с протоколом Active Directory, созданную для предоставления функциональности, аналогичной Windows Active Directory на системах семейства Unix/Linux.

2.Служба samba.

Служба samba позволяет гибко настраивать журналирование для выявления возможных проблем в работе, а также мониторинга событий, связанных с аутентификацией, авторизацией и внесением изменений в базу данных службы.

Эти два метода взаимодополняют друг друга и позволяют создать надежную систему журналирования действий администраторов в Linux, обеспечивая при этом полный контроль и прозрачность над действиями пользователей с повышенными привилегиями.

Конфигурация инфраструктуры Samba DC.

Наша настройка состоит из сервера и клиента.

Таблица 1.

Характеристики и адресация ВМ

Сначала рассмотрим настройку Samba DC на сервере:

Установка пакета samba:

Первым шагом необходимо установить пакет task-samba-dc. В большинстве дистрибутивов Linux это можно сделать с помощью стандартного менеджера пакетов.

apt-get update

apt-get install task-samba-dc

Затем нужно запустить с помощью команды:

systemctl start samba.

Сделать так, чтобы Samba запускалась автоматически

systemctl enable –now samba

Затем останавливаем конфликтующие службы:

for service in smb nmb krb5kdc slapd bind; do systemctl disable $service; systemctl stop $service; done

Устанавливаем имя узла и домена:

hostnamectl set-hostname dc.test.alt

domainname test.alt

Создаём контроллер с помощью консоли:

samba-tool domain provision --realm=test.alt --domain=test --adminpass='Pa$$word' --dns-backend=SAMBA_INTERNAL --option="dns forwarder=8.8.8.8" --server-role=dc – use-rfc2307

Затем в файле /etc/resolvconf.conf прописываем строчку:

Nameserver=127.0.0.1

Обновляем DNS с помощью команды resolvconf -u

Затем вносим изменения в файл /etc/krb5.conf:

Рисунок 1. Конфигурация файла krb5.conf.

Проверка:

Рисунок 2. Проверка настройки домена.

Настройка на машине CLISamba:

Устанавливаем пакет:

# apt-get install task-auth-ad-sssd

В терминале прописываем имя:

# hostnamectl set-hostname host-15.test.alt

В файле /etc/net/ifaces/enp0s3/resolv.conf прописываем DNS-сервера

nameserver 192.168.100.11

В файле /etc/resolvconf.conf прописываем:

Рисунок 3. Конфигурация файла resolvconf.conf.

Обновляем DNS с помощью команды resolvconf -u

Далее вводим в домен нашу машину с помощью команды:

Рисунок 4. Ввод в домен.

Для поддержки журналирования в Samba DC есть специальные модули, которые можно подключить и использовать через настройку файла smb.conf.

Для примера я приведу стандартные действия администратора, а затем представлю, каким образом они логируются.

Порядок действий администратора:

1. Аутентификация и авторизация.
2. Создание нового пользователя newAdmin.
3. Создание новой группы Admins.
4. Добавление пользователя newAdmin в группу Admins.
5. Смена пароля пользователя newAdmin.

Для логирования данных стандартных действий я настроил файл smb.conf следующим образом.

Рисунок 5. Настройка файла smb.conf.

Я использовал модули аудита службы samba:

1.auth_audit и auth_json_audit для регистрации событий аутентификации и авторизации в стандартном формате и JSON с уровнем журналирования 5.

2.dsdb_audit и dsdb_json_audit для регистрации изменений в базе данных DC Samba в стандартном формате и JSON с уровнем журналирования 5.

3.dsdb_group_audit и dsdb_group_json_audit для регистрации изменений в составе групп в стандартном виде и JSON с уровнем журналирования 5.

4.dsdb_password_audit и dsdb_password_json_audit для регистрации событий изменения или сброса пароля в стандартном виде и JSON с уровнем журналирования 5.

5.dsdb_transaction_audit и dsdb_transaction_json_audit для регистрации не успешных транзакций, завершающихся откатом, и событий подготовки фиксации данных (prepare commit) в стандартном виде и JSON с уровнем журналирования 10.

Чем выше уровень журналирования, тем более широкий спектр журналируемых событий. Нужно также учитывать, что максимальный уровень у разных модулей может отличаться.

Я указал для всех модулей специальный путь /var/log/samba/log.full_audit для записи логов, чтобы продемонстрировать возможность выбора удобного расположения общего файла с логами. Также при необходимости можно использовать разные пути для разных категорий логирования.

Многое можно узнать из документации Samba и Samba DC, однако комплексного примера применения модулей аудита нет.

Результаты.

Результаты эксперимента по поддержке журналирования действий администраторов включают следующие ключевые выводы:

1.Эффективность системы аудита: все действия администратора были залогированы:

Рисунок 6. Логи аутентификации и авторизации администратора.

Рисунок 7. Логи создания нового пользователя newAdmin.

Рисунок 8. Логи создания новой группы Admins.

Рисунок 9. Логи добавления пользователя newAdmin в группу Admins.

Рисунок 10. Логи смены пароля пользователя newAdmin администратором.

2. Соблюдение регулирующих требований: Настроенная система аудита соответствует требованиям соответствующих нормативных актов и стандартов безопасности. Система аудита способна регистрировать необходимые события и предоставлять необходимую информацию для аудита и проверки соответствия.

3. Производительность и эффективность: Внедрение системы аудита имело минимальное влияние на производительность информационной системы.

Эти результаты подчеркивают важность поддержки журналирования действий администраторов в современных информационных системах и демонстрируют эффективность использования соответствующих инструментов и методов для обеспечения безопасности и контроля над системой.

Заключение.

Таким образом, в данной статье мы продемонстрировали возможности службы samba в инфраструктуре Samba DC. Конечно, есть риск обнаружения администратором логирования действий и внесения изменений в общий файл с логами. На этот случай можно сделать распределённую структуру хранения логов, используя разные маршруты для разных категорий логов, производить периодическое дублирование имеющихся лог-файлов.

Список литературы:

1. Князева, Г. В. Мониторинг действий пользователя как часть системы комплексной безопасности компьютерных систем // Вестник ВУиТ. 2015. №1 (23). URL: https://cyberleninka.ru/article/n/monitoring-deystviy-polzovatelya-kak-chast-sistemykompleksnoy-bezopasnosti-kompyuternyh-sistem (дата обращения: 20.06.2024).
2. Уймин, А. Г. Демонстрационный экзамен базового уровня. Сетевое и системное администрирование : Практикум. Учебное пособие для вузов / А. Г. Уймин. – Санкт-Петербург : Издательство "Лань", 2024. – 116 с. – (Высшее образование). – ISBN 978-5-507-48647-2
3. Администрирование Samba / [Электронный ресурс] // BaseAlt : [сайт]. — URL: https://docs.altlinux.org/ru-RU/domain/10.2/html/samba/ch06.html (дата обращения: 20.06.2024).
4. Журналирование событий samba / [Электронный ресурс] // РЕДОС : [сайт]. — URL: https://redos.red-soft.ru/base/server-configuring/network-storage/event-log-samba/ (дата обращения: 20.06.2024).
5. Управление пользователями и группами в Samba DC / [Электронный ресурс] // РЕДОС : [сайт]. — URL: https://redos.red-soft.ru/base/server-configuring/domain-config/users-and-groups/ (дата обращения: 20.06.2024).
6. Доменная инфраструктура на базе Samba / [Электронный ресурс] // BaseALT : [сайт]. — URL: https://docs.altlinux.org/ru-RU/domain/10.2/html-single/samba/index.html (дата обращения: 20.06.2024).
7. Логирование операций с файлами в Samba / [Электронный ресурс] // Системное администрирование: просто о сложном : [сайт]. — URL: https://serveradmin.ru/logirovanie-operatsiy-s-faylami-v-samba/ (дата обращения: 20.06.2024).