Configurando um servidor de logs simples

bad_tux

Quando uma máquina é invadida, a primeira coisa que o invasor vai querer fazer é apagar os vestígios de que esteve ali removendo as entradas que ficam armazenadas em log. Esse artigo nos mostra uma técnica que irá dificultar a vida dele

[ Hits: 50.495 ]

Por: Jeferson Fernando Noronha em 20/05/2004

0 0

Denuncie Favoritos Indicar Impressora

Configurando o cliente e o servidor

Configuração do cliente

A configuração do cliente é simples, basta editar o arquivo /etc/syslog.conf e adicionar a seguinte linha:

*.*                            @servidor_de_logs

Onde servidor_de_logs é o nome da máquina para onde serão enviadas as mensagens de log.

Configuração do servidor

Para o servidor aceitar logs de máquinas remotas, o syslog deve ser executado com a opção -r (remote reception - recepção remota).

Em alguns sabores de Linux, para que o syslog seja executado com a opção -r basta definir a variável LOGSERVER como yes no arquivo /etc/sysconfig/syslog.

Feitas as alterações, basta reiniciar o syslogd para que as mesmas entrem em vigor:

# killall -HUP syslogd

E é só isso! A partir de agora o seu servidor de logs já estará recebendo os logs da máquina cliente.

Espero ter ajudado.
bAd_TuX

Página anterior

Páginas do artigo

1. Introdução
2. Configurando o cliente e o servidor

Outros artigos deste autor

Configurando vídeo no Linux usando frame buffer

Instalando e configurando o Wine

Instalando e configurando um Webserver

Mudando a cara do Lilo

Configurando placa de som CMI8738

Leitura recomendada

VPN: IPSec vs SSL

Jails em SSH: Montando sistema de Shell Seguro

Ubuntu pendrive TrueCrypt

Arquivo de configuração do mod_security

Rootkit: Uma nova ameaça?

Comentários

[1] Comentário enviado por fabio em 20/05/2004 - 05:45h

Bom, para usuários das mais variadas disitruições, aí vai a dica. Procurem pelo script que inicializa o serviço syslogd, no Debian é:

# vim /etc/init.d/sysklogd

Lá vocês vão mudar a linha:
SYSLOGD=""
para
SYSLOGD="-r"

Depois:

# /etc/init.d/sysklogd restart

e zé fini! :)

0 0

[2] Comentário enviado por naoexistemais em 20/05/2004 - 06:04h

Faltou uma observação

Inclua a informação de quem e o logserver dentro do /etc/hosts caso você opte por utilizar esta sintaxe

# echo -e '192.168.0.10 logserver' >> /etc/hosts

Até,

0 0

[3] Comentário enviado por bogdano em 21/05/2004 - 10:16h

Uma outra forma de 'garantir' que o tal hacker não vai conseguir modificar algum log seria redirecionar as mensagens mais importantes para uma impressora matricial (que faria também um barulhão, servindo também de alarme :), tornando-as 'físicas'.
É um pouco exagerada, mas é efetiva.

1 0

[4] Comentário enviado por y2h4ck em 21/05/2004 - 11:11h

Usando o LIDS bastaria adicionar uma regra
para tornar os logs como APPEND ..

assim o invasor mesmo estando como root nao iria conseguir
apagar nada.

0 0

[5] Comentário enviado por bogdano em 21/05/2004 - 11:36h

Eu sei que o FreeBSD tem uma flag a, para apenas adicionar conteúdo em um arquivo. O Linux possui algo parecido com isso, no kernel?

0 0

[6] Comentário enviado por brunonunes em 06/10/2010 - 16:20h

No debian Etch eu editei o arquivo /etc/default/syslogd:

Lá vocês vão mudar a linha:
SYSLOGD=""
para
SYSLOGD="-r"

Reinicie o Serviço.

/etc/init.d/syslogd restart

1 0