Bom, é sempre interessante ter controle total do sistema que usamos, principalmente se usamos um sistema UNIX/Linux, onde vira e mexe alguma coisa gera um loop infinito que acaba travando o sistema totalmente, mesmo com o pam security bem configurado!

Vamos trabalhar com o syslogd então, e configurá-lo de maneira bem dinâmica.

O syslogd é um daemon (programa rodando em background aguardando algo) que guarda as ocorrências sobre o sistema em arquivos na pasta /var/log.

Vamos então com o editor de sua preferência editar o arquivo responsável por ele, que é o /etc/syslog.conf. Sua sintaxe é a seguinte:

FACILIDADE.NÍVEL    DESTINO

As FACILIDADEs definem que raio de programa gerará o log no arquivo especificado em DESTINO. O NÍVEL nos diz em que evento ou momento e de que forma isso deve ser gravado no arquivo.

Veja abaixo a tabela de FACILIDADES (situações que geram avisos):

• auth - mensagens de segurança/autorização (é recomendável usar authpriv ao invés deste).
• authpriv - mensagens de segurança/autorização (privativas).
• cron - daemons de agendamento (cron e at).
• daemon - outros daemons do sistema que não possuem facilidades específicas.
• ftp - daemon de ftp do sistema.
• kern - mensagens de estado do kernel (podem ser preocupantes).
• lpr - subsistema de impressão.
• local0 a local7 - reservados para uso local.
• mail - subsistema de e-mail.
• news - subsistema de notícias da USENET.
• security - sinônimo para a facilidade auth (evite usá-la).
• syslog - mensagens internas geradas pelo syslogd.
• user - mensagens genéricas de nível do usuário.
• uucp - subsistema de UUCP.
• * - confere com todas as facilidades.

Veja agora a lista de níveis de alerta:

• emerg - o sistema está inutilizável.
• alert - uma ação deve ser tomada imediatamente para resolver o problema.
• crit - condições críticas.
• err - condições de erro.
• warning - condições de alerta.
• notice - condição normal, mas significante.
• info - mensagens informativas.
• debug - mensagens de depuração.
• * - confere com todos os níveis.

O segredo está em fazer o destino das mensagens ser, além de um arquivo em /var/log, também um tty desocupado onde possa ser acessado imediatamente na hora da suspeita. Veja o exemplo baixo:

Repare que você pode fazer isso com todas as entradas que existem no /etc/syslog.conf. Nada impede que o log tenha dois destinos diferentes como o caso acima. Aconteceu algo suspeito no sistema, basta pressionar ALT+F8 ou CTRL+ALT+F8 (no modo gráfico) para ver o que está acontecendo.

Tá, mas você quer ver tudo isso no modo gráfico? Nada o impede de criar um arquivo centralizado para logs, embora ele fique "gordo" demais com o tempo e depois monitorá-lo com o xconsole. Digamos que você defina que o arquivo seja /var/log/LIXO, assim:

Depois monitore o arquivo com o seguinte comando:

# xconsole -bg black -fg green -fn fixed -file /var/log/LIXO -notify

Isso faz que tudo que seja depositado em /var/log/LIXO seja mostrado pelo xconsole imediatamente.

Bom, se você usa conectiva Linux (como eu), edite o arquivo /usr/lib/kde3/share/config/kdm/Xsetup* e acrescente a linha acima com o xconsole, isso fará que quando o kdm for executado, chame também o xconsole.

Para deixar seu syslogd sendo servidor de logs na rede, apenas use o comando "syslogd -r". Use o ntsysv, marque a opção syslogd, depois digite:

# service syslog restart

Se você usa o KDE, habilite o KnetMonApplet, configure ele para a velocidade menor que existir, por padrão ele vem configurado para 10MB/s, mude pra 36K para monitorar de maneira minuciosa o movimento na sua placa de rede.

Desabilite o applet chato klipper, ponha o knotes que é muito mais util, digamos que você no xconsole viu algum código estranho, pegue-o, cole-o no knotes e simplesmente feche-o, automaticamente. O knotes salva tudo o que nele for digitado e depois abre para você ver com apenas um clique. O KnetMonApplet vem no pacote knetmonapplet-0.6.7-25828cl.i386.rpm.

Bom é só isso, outro dia falo mais de segurança e das práticas bizarras que uso na minha máquina.

Até mais!