Configurando um servidor de logs simples
Quando uma máquina é invadida, a primeira coisa que o invasor vai querer fazer é apagar os vestígios de que esteve ali removendo as entradas que ficam armazenadas em log. Esse artigo nos mostra uma técnica que irá dificultar a vida dele
[ Hits: 50.470 ]
Por: Jeferson Fernando Noronha em 20/05/2004
Introdução
Para isso, ele irá modificar os logs do sistema para remover qualquer evidência de sua invasão. Para melhorar a confiabilidade dos arquivos de log aconselha-se o uso de um servidor que apenas coleta os logs das máquinas da rede. Desta maneira, mesmo que o invasor viole seu sistema primário (servidor de web por exemplo), ainda vai ter um outro conjunto de logs que não foram alterados.
Nada impede que ele também viole o servidor de logs, mas isto irá dificultar a vida dele. :)
2. Configurando o cliente e o servidor
Instalando e configurando o Wine
Configurando o Modem HSP56 Micromodem no Linux
Instalando e configurando um Webserver
Configurando placa de som CMI8738
Knockd (bate, bate, bate na porta do céu)
Autenticação via hardware: o módulo pam_blue
Inprotect + Nessus: Scanner de vulnerabilidades
Bom, para usuários das mais variadas disitruições, aí vai a dica. Procurem pelo script que inicializa o serviço syslogd, no Debian é:
# vim /etc/init.d/sysklogd
Lá vocês vão mudar a linha:
SYSLOGD=""
para
SYSLOGD="-r"
Depois:
# /etc/init.d/sysklogd restart
e zé fini! :)
Faltou uma observação
Inclua a informação de quem e o logserver dentro do /etc/hosts caso você opte por utilizar esta sintaxe
# echo -e '192.168.0.10 logserver' >> /etc/hosts
Até,
Uma outra forma de 'garantir' que o tal hacker não vai conseguir modificar algum log seria redirecionar as mensagens mais importantes para uma impressora matricial (que faria também um barulhão, servindo também de alarme :), tornando-as 'físicas'.
É um pouco exagerada, mas é efetiva.
Usando o LIDS bastaria adicionar uma regra
para tornar os logs como APPEND ..
assim o invasor mesmo estando como root nao iria conseguir
apagar nada.
Eu sei que o FreeBSD tem uma flag a, para apenas adicionar conteúdo em um arquivo. O Linux possui algo parecido com isso, no kernel?
No debian Etch eu editei o arquivo /etc/default/syslogd:
Lá vocês vão mudar a linha:
SYSLOGD=""
para
SYSLOGD="-r"
Reinicie o Serviço.
/etc/init.d/syslogd restart
Patrocínio
Destaques
Artigos
Melhorando o tempo de boot do Fedora e outras distribuições
Como instalar as extensões Dash To Dock e Hide Top Bar no Gnome 45/46
E a guerra contra bots continua
Tradução do artigo do filósofo Gottfried Wilhelm Leibniz sobre o sistema binário
Conheça o firewall OpenGFW, uma implementação do (Great Firewall of China).
Dicas
Instalando o FreeOffice no LMDE 6
Anki: Remover Tags de Estilo HTML de Todas as Cartas
Colocando uma opção de redimensionamento de imagem no menu de contexto do KDE
Tópicos
Resolução 2056x1080 no Debian (20)
Inventario nativo GLPI não funciona após mudança de porta do apache (0)
Top 10 do mês
-
Xerxes
1° lugar - 67.035 pts -
Fábio Berbert de Paula
2° lugar - 55.699 pts -
Clodoaldo Santos
3° lugar - 41.336 pts -
Buckminster
4° lugar - 21.884 pts -
Sidnei Serra
5° lugar - 20.802 pts -
Alberto Federman Neto.
6° lugar - 16.669 pts -
Mauricio Ferrari
7° lugar - 16.567 pts -
Daniel Lara Souza
8° lugar - 16.427 pts -
Diego Mendes Rodrigues
9° lugar - 15.288 pts -
edps
10° lugar - 13.476 pts
Scripts
[Shell Script] Script para criar certificados de forma automatizada no OpenVpn
[Shell Script] Conversor de vídeo com opção de legenda
[C/C++] BRT - Bulk Renaming Tool
[Shell Script] Criação de Usuarios , Grupo e instalação do servidor de arquivos samba
[Shell Script] Tire screenshots com Scrot facilmente com Zscrot
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
