3. Thiết kế xây dựng mô hình hệ thống giám sát
3.6. Các thông số chính của chương trình
Các config file có trên hệ thống
Workdir Thư mục chứa các file hoạt động của chương trình
Patterns Chứa các mẫu để so sánh với các log file từ hệ thống log server
Firewall Chứa các tập luật được định nghĩa sẵn nhằm xử lý các xâm nhập bất hợp pháp
Banlist Tập hợp các IP bị chặn và thời gian chặn các IP đấy
Pidfile Lưu giữ thông tin Process ID (pid) của chương trình
Maxatt Số tối đa một IP có thể thực hiện xâm nhập vào webserver trước khi bị Block
Mailto Email sẽ nhận được các báo cáo về các IP bị chặn
Logpri Thứ tự ưu tiên các log file khi kiểm tra
SV: HỒ TRUNG DŨNG 68
Alert LOG_ALERT : Lưu các thông báo có tính báo động của hệ thống webserver.
Crit LOG_CRIT : Lưu các thông báo có tính nguy cấp của hệ thống webserver.
Debug LOG_DEBUG: Lưu các thông tin về sửa lỗi của hệ thống emerg LOG_EMERG: Lưu các cảnh báo có tính nguy cấp của hệ
thống. Thông thường cảnh báo trước khi server down.
err LOG_ERR : Lưu trữ các thông báo lỗi của các service trên hệ thống webserver.
info LOG_INFO : Lưu giữ thông tin của các thông báo từ hệ thống.
notice LOG_NOTICE : Lưu trữ các thông báo có tính lưu ý, là thông báo bình thường nhưng khá quan trọng.
warning LOG_WARNING: Lưu giữ các cảnh báo của hệ thống webserver.
auth LOG_AUTH: Lưu giữ các thông báo về phân quyền và bảo mật của hệ thống.
authpriv LOG_AUTHPRIV: Cũng giống như LOG_AUTH nhưng các thông báo mạng tính private.
cron LOG_CRON: Lưu giữ các thông báo liên quan đến các chương trình chạy theo lịch đặt sẵn (Cron).
daemon LOG_DAEMON: Lưu giữ các thông báo từ các daemon. kern LOG_KERN: Lưu giữ các thông báo từ Kernel của OS
mail LOG_MAIL: Lưu giữ các thông báo của hệ thống mail của webserver.
news LOG_NEWS: Các thông tin vận hành của webserver.
syslog LOG_SYSLOG: Lưu trữ các thông tin về các ứng dụng của hệ thống.
user LOG_USER: Lưu giữ thông tin chung về level của users . local0 7 LOG_LOCAL0 LOG_LOCAL7: Thông tin về các lưu trữ nội
bộ.
+ Các luật được lưu trong firewall :
Hai hệ thống tập luật dưới đây sẽ thực hiện cấm hay cho phép các IP được xác định là xâm nhập bất hợp pháp truy cập trở lại hay không. Các allow rules để cho phép các IP bị block (cấm truy cập) có thể được truy cập trở lại. Còn reject rules thì có ý nghĩa ngược lại. Các quy tắc trong tập luật reject sẽ cấm các IP có dấu hiệu xâm nhập sau khi nhận được cảnh báo từ khối IPController.
SV: HỒ TRUNG DŨNG 69 reject=inrej,outrej,fwdrej
inprej=/sbin/iptables ^I INPUT ^s %i ^j DROP outrej=/sbin/iptables ^I OUTPUT ^d %i ^j DROP fwdrej=/sbin/iptables ^I FORWARD ^d %i ^j DROP # Allow rules for IPCHAINS
allow=inalw,outalw,fwdalw
inpalw=/sbin/iptables ^D INPUT ^s %i ^j DROP outalw=/sbin/iptables –D OUTPUT ^d %i ^j DROP fwdalw=/sbin/iptables –D FORWARD ^d %i ^j DROP
Dòng đầu tiên của hai hệ thống tập luật trên là 2 dòng chú thích chung cho hai tập luật bao gồm các quy tắc nhỏ (chains):
Dòng thứ 2 ấn định các tham số của các biến (reject và allow):
Với Reject rules thì đó là : inrej, outrej và fwdrej và inalw,outalw,fwdalw với allow rules.
Các biến này sẽ được ấn định giá trị chứa iptable binary tại /sbin/iptables
Dòng 3, 4, 5 sẽ từ chối (cấm) tất cả các gói tin đi vào (input), đi ra (output ) hay các gói tin đi đến server khác (forward) nếu nó không phù hợp.
+ Một số mẫu được đưa vào thử nghiệm trong chương trình:
SV: HỒ TRUNG DŨNG 70
CHƯƠNG IV. THỬ NGHIỆM VÀ ĐÁNH GIÁ HỆ THỐNG GIÁM SÁT