Справочный центр

Дерево страниц

Сравнение версий

Старая версия 15

changes.mady.by.user Александр Левдонский

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Александр Левдонский

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

Оглавление

См. также:


Информация
titleДанная статья применима к:
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.8)
  • Astra Linux Special Edition РУСБ.10015-01 и РУСБ.10015-10 (очередное обновление 1.7)
  • Astra Linux Special Edition РУСБ.10015-37 (очередное обновление 7.7)
  • Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7)

  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)

  • Astra Linux Special Edition РУСБ.10015-16 исп. 1 и исп. 2

  • Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1)

  • Astra Linux Common Edition 2.12


Введение

При установке службы Kerberos в конфигурационном файле этой службы /etc/krb5.conf указываются настройки записи журналов в файлы, находящиеся в каталоге /var/log. Пример записей в конфигурационном файле:

Информация
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

Однако, так как каталог /var/log доступен для записи только привилегированному пользователю, запись в эти файлы производиться не будет.

Включение записи в отдельные файлы

Для того, чтобы включить запись журналов Kerberos следует внести изменения в конфигурацию служб krb5-admin-server.service и krb5-kdc.service, для чего выполнить следующие действия:

  1. Выполнить команду:

    Command
    sudo systemctl edit krb5-admin-server.service krb5-kdc.service


  2. В открывшемся текстовом редакторе nano ввести текст:

    Блок кода
    [Service]
ReadWriteDirectories=
ReadWriteDirectories=-/var/tmp /tmp /var/lib/krb5kdc -/var/run /run /var/log


  3. Сохранить изменения.

  4. В повторно открывшемся текстовом редакторе повторить ввод текста и сохранение изменений.

  5. Выполнить перезапуск системных служб:

    Command
    sudo ipactl restart


Сценарий:

Блок кода
sudo mkdir -p /etc/systemd/system/{krb5-admin-server.service.d,krb5-kdc.service.d}
echo -e "[Service]\nReadWriteDirectories=\nReadWriteDirectories=-/var/tmp /tmp /var/lib/krb5kdc -/var/run /run /var/log" | sudo tee /etc/systemd/system/krb5-admin-server.service.d/override.conf
echo -e "[Service]\nReadWriteDirectories=\nReadWriteDirectories=-/var/tmp /tmp /var/lib/krb5kdc -/var/run /run /var/log" | sudo tee /etc/systemd/system/krb5-kdc.service.d/override.conf
sudo systemctl daemon-reload
sudo ipactl restart


Включение записи в системный журнал

Запись можно перенаправить в системный журнал /var/log/syslog. Для этого:

  1. Указать в конфигурационном файле /etc/krb5.conf в секции [logging] приемником сообщений SYSLOG:DEBUG:DAEMON:

    Command
    [logging]
    default = FILE:/var/log/krb5libs.log
    kdc = SYSLOG:DEBUG:DAEMON
    admin_server = SYSLOG:DEBUG:DAEMON


  2. Перезапустить службы чтобы изменения активировались.

Управление размером журнала

Для управления размером журнала можно использовать службу ligrotatelogrotate, создав соответствующий конфигурационный файл в каталоге /etc/logrotate.d/, например, файл /etc/logrotate.d/krb5kdc. Пример конфигурационного файла службы для ежедневной ротации файла /var/log/krb5kdc.log:

Блок кода
/var/log/krb5kdc.log {
    missingok
    daily
    create
    compress
    size 10M
    rotate 4
    postrotate
        /usr/bin/systemctl reload krb5-kdc 2> /dev/null > /dev/null || true
    endscript
}

Подробнее см. статью Порядок ротации журналов безопасности подсистемы регистрации событий.