| Информация | ||
|---|---|---|
| ||
|
Введение
При установке службы Kerberos в конфигурационном файле этой службы /etc/krb5.conf указываются настройки записи журналов в файлы, находящиеся в каталоге /var/log.
Пример записей в конфигурационном файле:
| Информация |
|---|
| [logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log |
Данная статья применима к:
Однако, так как каталог /var/log доступен для записи только привилегированному пользователю, запись в эти файлы производиться не будет.
При необходимостиВключение записи в отдельные файлы
Для того, чтобы включить запись журналов Kerberos следует выполнить следующие действия:
Выполнить команду:
Command sudo systemctl edit krb5-admin-server.service krb5-kdc.service В открывшемся текстовом редакторе ввести текст:
Блок кода [Service] ReadWriteDirectories= ReadWriteDirectories=-/var/tmp /tmp /var/lib/krb5kdc -/var/run /run /var/logСохранить изменения (при использовании редактора nano - Ctrl+X, Y, Enter;
В повторно открывшемся текстовом редакторе повторить ввод текста и сохранение изменений;
Выполнить перезапуск системных служб:
Command sudo ipactl restart
Сценарий:
| Блок кода |
|---|
sudo mkdir -p /etc/systemd/system/{krb5-admin-server.service |
.d,krb5-kdc |
.service.d} echo -e "[Service]\nReadWriteDirectories=\nReadWriteDirectories=-/var/tmp /tmp /var/lib/krb5kdc -/var/run /run |
/var/log |
" | sudo tee /etc/systemd/system/krb5-admin-server.service.d/override.conf echo -e "[Service]\nReadWriteDirectories=\nReadWriteDirectories=-/var/tmp /tmp /var/lib/krb5kdc -/var/run /run /var/log" | sudo tee /etc/systemd/system/krb5-kdc.service.d/override.conf sudo systemctl daemon-reload sudo ipactl restart |
Включение записи в системный журнал
Запись можно перенаправить в системный журнал /var/log
После сохранения изменений в файлах выполнить обновление службы systemd и перезапуск системных служб:
| Command |
|---|
| sudo systemctl daemon-reload |
В случае использования службы FreeIPA помимо вышеуказанных действий перезапустить сервисы, контролируемые FreeIPA, командой:
/syslog. Для этого:
Указать в конфигурационном файле /etc/krb5.conf в секции [logging] приемником сообщений SYSLOG:DEBUG:DAEMON:
Command [logging]
default = FILE:/var/log/krb5libs.log
kdc = SYSLOG:DEBUG:DAEMON
admin_server = SYSLOG:DEBUG:DAEMON- Перезапустить службы чтобы изменения активировались.
Управление размером журнала
Для управления размером журнала можно использовать службу ligrotate, создав соответствующий конфигурационный файл в каталоге /etc/logrotate.d/, например, файл /etc/logrotate.d/krb5kdc. Пример конфигурационного файла службы для ежедневной ротации файла /var/log/krb5kdc.log:
| Блок кода |
|---|
/var/log/krb5kdc.log {
missingok
daily
create
compress
size 10M
rotate 4
postrotate
/usr/bin/systemctl reload krb5-kdc 2> /dev/null > /dev/null || true
endscript
} |
Подробнее см. статью Порядок ротации журналов безопасности подсистемы регистрации событий.