Configurando um servidor de logs simples
Quando uma máquina é invadida, a primeira coisa que o invasor vai querer fazer é apagar os vestígios de que esteve ali removendo as entradas que ficam armazenadas em log. Esse artigo nos mostra uma técnica que irá dificultar a vida dele
[ Hits: 52.148 ]
Por: Jeferson Fernando Noronha em 20/05/2004
Configurando o cliente e o servidor
Configuração do cliente
A configuração do cliente é simples, basta editar o arquivo /etc/syslog.conf e adicionar a seguinte linha:
*.* @servidor_de_logs
Onde servidor_de_logs é o nome da máquina para onde serão enviadas as mensagens de log.
Configuração do servidor
Para o servidor aceitar logs de máquinas remotas, o syslog deve ser executado com a opção -r (remote reception - recepção remota).
Em alguns sabores de Linux, para que o syslog seja executado com a opção -r basta definir a variável LOGSERVER como yes no arquivo /etc/sysconfig/syslog.
Feitas as alterações, basta reiniciar o syslogd para que as mesmas entrem em vigor:
# killall -HUP syslogd
E é só isso! A partir de agora o seu servidor de logs já estará recebendo os logs da máquina cliente.
Espero ter ajudado.
bAd_TuX
2. Configurando o cliente e o servidor
Configurando placa de som CMI8738
Configurando vídeo no Linux usando frame buffer
Instalando e configurando um Webserver
Configurando o Modem HSP56 Micromodem no Linux
Configuração de um servidor com clamav
Elaborando uma política de segurança para a empresa
Bom, para usuários das mais variadas disitruições, aí vai a dica. Procurem pelo script que inicializa o serviço syslogd, no Debian é:
# vim /etc/init.d/sysklogd
Lá vocês vão mudar a linha:
SYSLOGD=""
para
SYSLOGD="-r"
Depois:
# /etc/init.d/sysklogd restart
e zé fini! :)
Faltou uma observação
Inclua a informação de quem e o logserver dentro do /etc/hosts caso você opte por utilizar esta sintaxe
# echo -e '192.168.0.10 logserver' >> /etc/hosts
Até,
Uma outra forma de 'garantir' que o tal hacker não vai conseguir modificar algum log seria redirecionar as mensagens mais importantes para uma impressora matricial (que faria também um barulhão, servindo também de alarme :), tornando-as 'físicas'.
É um pouco exagerada, mas é efetiva.
Usando o LIDS bastaria adicionar uma regra
para tornar os logs como APPEND ..
assim o invasor mesmo estando como root nao iria conseguir
apagar nada.
Eu sei que o FreeBSD tem uma flag a, para apenas adicionar conteúdo em um arquivo. O Linux possui algo parecido com isso, no kernel?
No debian Etch eu editei o arquivo /etc/default/syslogd:
Lá vocês vão mudar a linha:
SYSLOGD=""
para
SYSLOGD="-r"
Reinicie o Serviço.
/etc/init.d/syslogd restart
Patrocínio
Destaques
Artigos
File Browser: Crie sua Nuvem Pessoal Privada
A produção de áudio e vídeo no Linux e as distribuições dedicadas a esse fim
Criptografando sua Home com Gocryptfs para tristeza do meliante
A Involução do Linux e as Lambanças Desnecessárias desde o seu Lançamento
O Journal no Linux para a guarda e consulta de logs do sistema
Dicas
Acelerando a compilação de pacotes no Arch Linux (AUR) usando todos os núcleos do processador
Ocultando asteriscos ao digitar senha no Ubuntu
Tópicos
Continuando meus tópicos anteriores (13)
As Assinaturas Perderam o Negrito e o Itálico? [RESOLVIDO] (1)
Top 10 do mês
-
Xerxes
1° lugar - 158.479 pts -
Fábio Berbert de Paula
2° lugar - 82.736 pts -
Alberto Federman Neto.
3° lugar - 46.331 pts -
Buckminster
4° lugar - 43.158 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
5° lugar - 39.393 pts -
edps
6° lugar - 34.696 pts -
Sidnei Serra
7° lugar - 26.106 pts -
Mauricio Ferrari (LinuxProativo)
8° lugar - 26.139 pts -
Daniel Lara Souza
9° lugar - 24.120 pts -
Andre (pinduvoz)
10° lugar - 24.012 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
