Pular para o conteúdo

Configurando um servidor de logs simples

Quando uma máquina é invadida, a primeira coisa que o invasor vai querer fazer é apagar os vestígios de que esteve ali removendo as entradas que ficam armazenadas em log. Esse artigo nos mostra uma técnica que irá dificultar a vida dele
Jeferson Fernando Noronha bad_tux

Por Jeferson Fernando Noronha em 20/05/2004

Hits: 52.164 Categoria: Linux Subcategoria: Segurança
  • Indicar
  • Impressora
  • Denunciar
O Viva o Linux depende da receita de anúncios para se manter. Ative os cookies aqui para nos patrocinar.
Não conseguimos carregar os anúncios. Se usa bloqueador, considere liberar o Viva o Linux para nos patrocinar.

Introdução

Quando uma máquina é invadida, a primeira coisa que o invasor vai querer fazer é não deixar vestígios de que esteve lá e não permitir que ninguém perceba a sua presença.

Para isso, ele irá modificar os logs do sistema para remover qualquer evidência de sua invasão. Para melhorar a confiabilidade dos arquivos de log aconselha-se o uso de um servidor que apenas coleta os logs das máquinas da rede. Desta maneira, mesmo que o invasor viole seu sistema primário (servidor de web por exemplo), ainda vai ter um outro conjunto de logs que não foram alterados.

Nada impede que ele também viole o servidor de logs, mas isto irá dificultar a vida dele. :)

O Viva o Linux depende da receita de anúncios para se manter. Ative os cookies aqui para nos patrocinar.
Não conseguimos carregar os anúncios. Se usa bloqueador, considere liberar o Viva o Linux para nos patrocinar.
O Viva o Linux depende da receita de anúncios para se manter. Ative os cookies aqui para nos patrocinar.
Não conseguimos carregar os anúncios. Se usa bloqueador, considere liberar o Viva o Linux para nos patrocinar.

Páginas do artigo

   1. Introdução
   2. Configurando o cliente e o servidor

Outros artigos deste autor

Instalando e configurando o Wine

Configurando o Modem HSP56 Micromodem no Linux

Instalando e configurando um Webserver

Configurando placa de som CMI8738

Configurando vídeo no Linux usando frame buffer

Leitura recomendada

Segurança Física (Parte 2)

Detectando possíveis trojans e lkms em seu servidor

Syslog-NG - Configurando um servidor de logs

wlmproxy - um proxy superior

Sudoers 1.8.12 - Parte IV - Manual

Comentários

#1 Comentário enviado por fabio em 20/05/2004 - 05:45h
Bom, para usuários das mais variadas disitruições, aí vai a dica. Procurem pelo script que inicializa o serviço syslogd, no Debian é:

# vim /etc/init.d/sysklogd

Lá vocês vão mudar a linha:
SYSLOGD=""
para
SYSLOGD="-r"

Depois:

# /etc/init.d/sysklogd restart

e zé fini! :)
#2 Comentário enviado por naoexistemais em 20/05/2004 - 06:04h
Faltou uma observação

Inclua a informação de quem e o logserver dentro do /etc/hosts caso você opte por utilizar esta sintaxe

# echo -e '192.168.0.10 logserver' >> /etc/hosts

Até,


#3 Comentário enviado por bogdano em 21/05/2004 - 10:16h
Uma outra forma de 'garantir' que o tal hacker não vai conseguir modificar algum log seria redirecionar as mensagens mais importantes para uma impressora matricial (que faria também um barulhão, servindo também de alarme :), tornando-as 'físicas'.
É um pouco exagerada, mas é efetiva.
#4 Comentário enviado por y2h4ck em 21/05/2004 - 11:11h
Usando o LIDS bastaria adicionar uma regra
para tornar os logs como APPEND ..

assim o invasor mesmo estando como root nao iria conseguir
apagar nada.


#5 Comentário enviado por bogdano em 21/05/2004 - 11:36h
Eu sei que o FreeBSD tem uma flag a, para apenas adicionar conteúdo em um arquivo. O Linux possui algo parecido com isso, no kernel?
#6 Comentário enviado por brunonunes em 06/10/2010 - 16:20h
No debian Etch eu editei o arquivo /etc/default/syslogd:


Lá vocês vão mudar a linha:
SYSLOGD=""
para
SYSLOGD="-r"

Reinicie o Serviço.

/etc/init.d/syslogd restart

Contribuir com comentário

Entre na sua conta para comentar.