Configurando um servidor de logs simples
Quando uma máquina é invadida, a primeira coisa que o invasor vai querer fazer é apagar os vestígios de que esteve ali removendo as entradas que ficam armazenadas em log. Esse artigo nos mostra uma técnica que irá dificultar a vida dele
[ Hits: 50.818 ]
Por: Jeferson Fernando Noronha em 20/05/2004
Introdução
Para isso, ele irá modificar os logs do sistema para remover qualquer evidência de sua invasão. Para melhorar a confiabilidade dos arquivos de log aconselha-se o uso de um servidor que apenas coleta os logs das máquinas da rede. Desta maneira, mesmo que o invasor viole seu sistema primário (servidor de web por exemplo), ainda vai ter um outro conjunto de logs que não foram alterados.
Nada impede que ele também viole o servidor de logs, mas isto irá dificultar a vida dele. :)
2. Configurando o cliente e o servidor
Configurando placa de som CMI8738
Configurando o Modem HSP56 Micromodem no Linux
Configurando vídeo no Linux usando frame buffer
Instalando e configurando um Webserver
Instalando e configurando o Wine
Instalando Snort e Guardian no Slackware
Introdução ao Personal Firewall (PF)
Analisando arquivos de registro (log)
Vírus em câmeras digitais: possibilidades
Bom, para usuários das mais variadas disitruições, aí vai a dica. Procurem pelo script que inicializa o serviço syslogd, no Debian é:
# vim /etc/init.d/sysklogd
Lá vocês vão mudar a linha:
SYSLOGD=""
para
SYSLOGD="-r"
Depois:
# /etc/init.d/sysklogd restart
e zé fini! :)
Faltou uma observação
Inclua a informação de quem e o logserver dentro do /etc/hosts caso você opte por utilizar esta sintaxe
# echo -e '192.168.0.10 logserver' >> /etc/hosts
Até,
Uma outra forma de 'garantir' que o tal hacker não vai conseguir modificar algum log seria redirecionar as mensagens mais importantes para uma impressora matricial (que faria também um barulhão, servindo também de alarme :), tornando-as 'físicas'.
É um pouco exagerada, mas é efetiva.
Usando o LIDS bastaria adicionar uma regra
para tornar os logs como APPEND ..
assim o invasor mesmo estando como root nao iria conseguir
apagar nada.
Eu sei que o FreeBSD tem uma flag a, para apenas adicionar conteúdo em um arquivo. O Linux possui algo parecido com isso, no kernel?
No debian Etch eu editei o arquivo /etc/default/syslogd:
Lá vocês vão mudar a linha:
SYSLOGD=""
para
SYSLOGD="-r"
Reinicie o Serviço.
/etc/init.d/syslogd restart
Patrocínio
Destaques
Artigos
Compartilhando a tela do Computador no Celular via Deskreen
Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota
Configuração para desligamento automatizado de Computadores em um Ambiente Comercial
Dicas
Efeito "livro" em arquivos PDF
Como resolver o erro no CUPS: Unable to get list of printer drivers
Flatpak: remover runtimes não usados e pacotes
Mudar o gerenciador de login (GDM para SDDM e vice-versa) - parte 2
Tópicos
Como atualizar o Debian 8 para o 10 (10)
Dica sobre iptables ACCEPT e DROP (6)
NGNIX - Aplicar SNAT para evitar roteamento assimetrico (29)
Top 10 do mês
-
Xerxes
1° lugar - 65.031 pts -
Fábio Berbert de Paula
2° lugar - 48.413 pts -
Buckminster
3° lugar - 18.382 pts -
Mauricio Ferrari
4° lugar - 14.554 pts -
Alberto Federman Neto.
5° lugar - 13.298 pts -
Diego Mendes Rodrigues
6° lugar - 12.658 pts -
Daniel Lara Souza
7° lugar - 12.489 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
8° lugar - 11.854 pts -
Andre (pinduvoz)
9° lugar - 10.655 pts -
edps
10° lugar - 10.276 pts
Scripts
[Python] Automação de scan de vulnerabilidades
[Python] Script para analise de superficie de ataque
[Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem
[Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)
[Shell Script] Script para adicionar bordas às imagens de uma pasta
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
