Данная статья применима к:

  • Astra Linux Special Edition РУСБ.10015-01 и РУСБ.10015-10 (очередное обновление 1.7)
  • Astra Linux Special Edition РУСБ.10015-37 (очередное обновление 7.7)
  • Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7)
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)

  • Astra Linux Special Edition РУСБ.10015-16 исп. 1 и исп. 2

  • Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1)

  • Astra Linux Common Edition 2.12

Введение

При установке службы Kerberos в конфигурационном файле этой службы /etc/krb5.conf указываются настройки записи журналов в файлы, находящиеся в каталоге /var/log. Пример записей в конфигурационном файле:

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

Однако, так как каталог /var/log доступен для записи только привилегированному пользователю, запись в эти файлы производиться не будет.

Включение записи в отдельные файлы

Для того, чтобы включить запись журналов Kerberos следует внести изменения в конфигурацию служб krb5-admin-server.service и krb5-kdc.service, для чего выполнить следующие действия:

  1. Выполнить команду:

    sudo systemctl edit krb5-admin-server.service krb5-kdc.service

  2. В открывшемся текстовом редакторе nano ввести текст:

    [Service]
    ReadWriteDirectories=
    ReadWriteDirectories=-/var/tmp /tmp /var/lib/krb5kdc -/var/run /run /var/log
  3. Сохранить изменения.

  4. В повторно открывшемся текстовом редакторе повторить ввод текста и сохранение изменений.

  5. Выполнить перезапуск системных служб:

    sudo ipactl restart

Сценарий:

sudo mkdir -p /etc/systemd/system/{krb5-admin-server.service.d,krb5-kdc.service.d}
echo -e "[Service]\nReadWriteDirectories=\nReadWriteDirectories=-/var/tmp /tmp /var/lib/krb5kdc -/var/run /run /var/log" | sudo tee /etc/systemd/system/krb5-admin-server.service.d/override.conf
echo -e "[Service]\nReadWriteDirectories=\nReadWriteDirectories=-/var/tmp /tmp /var/lib/krb5kdc -/var/run /run /var/log" | sudo tee /etc/systemd/system/krb5-kdc.service.d/override.conf
sudo systemctl daemon-reload
sudo ipactl restart

Включение записи в системный журнал

Запись можно перенаправить в системный журнал /var/log/syslog. Для этого:

  1. Указать в конфигурационном файле /etc/krb5.conf в секции [logging] приемником сообщений SYSLOG:DEBUG:DAEMON:

    [logging]
    default = FILE:/var/log/krb5libs.log
    kdc = SYSLOG:DEBUG:DAEMON
    admin_server = SYSLOG:DEBUG:DAEMON

  2. Перезапустить службы чтобы изменения активировались.

Управление размером журнала

Для управления размером журнала можно использовать службу ligrotate, создав соответствующий конфигурационный файл в каталоге /etc/logrotate.d/, например, файл /etc/logrotate.d/krb5kdc. Пример конфигурационного файла службы для ежедневной ротации файла /var/log/krb5kdc.log:

/var/log/krb5kdc.log {
    missingok
    daily
    create
    compress
    size 10M
    rotate 4
    postrotate
        /usr/bin/systemctl reload krb5-kdc 2> /dev/null > /dev/null || true
    endscript
}

Подробнее см. статью Порядок ротации журналов безопасности подсистемы регистрации событий.


  • No labels