Данная статья применима к:
- Astra Linux Special Edition РУСБ.10015-01 и РУСБ.10015-10 (очередное обновление 1.7)
- Astra Linux Special Edition РУСБ.10015-37 (очередное обновление 7.7)
- Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7)
Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)
Astra Linux Special Edition РУСБ.10015-16 исп. 1 и исп. 2
Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1)
Astra Linux Common Edition 2.12
Введение
При установке службы Kerberos в конфигурационном файле этой службы /etc/krb5.conf указываются настройки записи журналов в файлы, находящиеся в каталоге /var/log. Пример записей в конфигурационном файле:
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
Однако, так как каталог /var/log доступен для записи только привилегированному пользователю, запись в эти файлы производиться не будет.
Включение записи в отдельные файлы
Для того, чтобы включить запись журналов Kerberos следует внести изменения в конфигурацию служб krb5-admin-server.service и krb5-kdc.service, для чего выполнить следующие действия:
Выполнить команду:
sudo systemctl edit krb5-admin-server.service krb5-kdc.serviceВ открывшемся текстовом редакторе nano ввести текст:
[Service] ReadWriteDirectories= ReadWriteDirectories=-/var/tmp /tmp /var/lib/krb5kdc -/var/run /run /var/log
Сохранить изменения.
В повторно открывшемся текстовом редакторе повторить ввод текста и сохранение изменений.
Выполнить перезапуск системных служб:
sudo ipactl restart
Сценарий:
sudo mkdir -p /etc/systemd/system/{krb5-admin-server.service.d,krb5-kdc.service.d} echo -e "[Service]\nReadWriteDirectories=\nReadWriteDirectories=-/var/tmp /tmp /var/lib/krb5kdc -/var/run /run /var/log" | sudo tee /etc/systemd/system/krb5-admin-server.service.d/override.conf echo -e "[Service]\nReadWriteDirectories=\nReadWriteDirectories=-/var/tmp /tmp /var/lib/krb5kdc -/var/run /run /var/log" | sudo tee /etc/systemd/system/krb5-kdc.service.d/override.conf sudo systemctl daemon-reload sudo ipactl restart
Включение записи в системный журнал
Запись можно перенаправить в системный журнал /var/log/syslog. Для этого:
Указать в конфигурационном файле /etc/krb5.conf в секции [logging] приемником сообщений SYSLOG:DEBUG:DAEMON:
[logging]
default = FILE:/var/log/krb5libs.log
kdc = SYSLOG:DEBUG:DAEMON
admin_server = SYSLOG:DEBUG:DAEMON- Перезапустить службы чтобы изменения активировались.
Управление размером журнала
Для управления размером журнала можно использовать службу ligrotate, создав соответствующий конфигурационный файл в каталоге /etc/logrotate.d/, например, файл /etc/logrotate.d/krb5kdc. Пример конфигурационного файла службы для ежедневной ротации файла /var/log/krb5kdc.log:
/var/log/krb5kdc.log { missingok daily create compress size 10M rotate 4 postrotate /usr/bin/systemctl reload krb5-kdc 2> /dev/null > /dev/null || true endscript }
Подробнее см. статью Порядок ротации журналов безопасности подсистемы регистрации событий.