Bom, é sempre interessante ter controle total do sistema que usamos,
principalmente se usamos um sistema UNIX/Linux, onde vira e mexe alguma
coisa gera um loop infinito que acaba travando o sistema totalmente, mesmo
com o pam security bem configurado!
Vamos trabalhar com o
syslogd então, e configurá-lo de maneira
bem dinâmica.
O
syslogd é um daemon (programa rodando em background aguardando algo) que guarda as ocorrências sobre o sistema em arquivos na pasta /var/log.
Vamos então com o editor de sua preferência editar o arquivo responsável
por ele, que é o
/etc/syslog.conf. Sua sintaxe é a seguinte:
FACILIDADE.NÍVEL DESTINO
As FACILIDADEs definem que raio de programa gerará o log no arquivo
especificado em DESTINO. O NÍVEL nos diz em que evento ou momento e de que forma isso deve ser gravado no arquivo.
Veja abaixo a tabela de FACILIDADES (situações que geram avisos):
- auth - mensagens de segurança/autorização (é recomendável usar authpriv ao invés deste).
- authpriv - mensagens de segurança/autorização (privativas).
- cron - daemons de agendamento (cron e at).
- daemon - outros daemons do sistema que não possuem facilidades
específicas.
- ftp - daemon de ftp do sistema.
- kern - mensagens de estado do kernel (podem ser preocupantes).
- lpr - subsistema de impressão.
- local0 a local7 - reservados para uso local.
- mail - subsistema de e-mail.
- news - subsistema de notícias da USENET.
- security - sinônimo para a facilidade auth (evite usá-la).
- syslog - mensagens internas geradas pelo syslogd.
- user - mensagens genéricas de nível do usuário.
- uucp - subsistema de UUCP.
- * - confere com todas as facilidades.
Veja agora a lista de níveis de alerta:
- emerg - o sistema está inutilizável.
- alert - uma ação deve ser tomada imediatamente para resolver o problema.
- crit - condições críticas.
- err - condições de erro.
- warning - condições de alerta.
- notice - condição normal, mas significante.
- info - mensagens informativas.
- debug - mensagens de depuração.
- * - confere com todos os níveis.
O segredo está em fazer o destino das mensagens ser, além de um arquivo em /var/log, também um tty desocupado onde possa ser acessado imediatamente
na hora da suspeita. Veja o exemplo baixo:
# TODOS AVISOS DE SEGURANÇA E LOGINS SERÃO JOGADOS NOS
# ARQUIVOS TRADICIONAIS E NO tty8 também
authpriv.* /var/log/secure
authpriv.* /dev/tty8
# (nunca use espaço e sim TAB)
Repare que você pode fazer isso com todas as entradas que existem no
/etc/syslog.conf. Nada impede que o log tenha dois destinos diferentes como o caso acima. Aconteceu algo suspeito no sistema, basta pressionar ALT+F8 ou CTRL+ALT+F8 (no modo gráfico) para ver o que está acontecendo.
Tá, mas você quer ver tudo isso no modo gráfico? Nada o impede de criar um
arquivo centralizado para logs, embora ele fique "gordo" demais com o tempo e depois monitorá-lo com o xconsole. Digamos que você defina que o arquivo seja /var/log/LIXO, assim:
*.* /var/log/LIXO
ou
authpriv.* /var/log/LIXO
# (nunca use espaço e sim TAB)
Depois monitore o arquivo com o seguinte comando:
# xconsole -bg black -fg green -fn fixed -file /var/log/LIXO -notify
Isso faz que tudo que seja depositado em /var/log/LIXO seja mostrado pelo
xconsole imediatamente.
Bom, se você usa conectiva Linux (como eu), edite o arquivo
/usr/lib/kde3/share/config/kdm/Xsetup* e acrescente a linha acima com o xconsole, isso fará que quando o kdm for executado, chame também o xconsole.
Para deixar seu syslogd sendo servidor de logs na rede, apenas use o comando "syslogd -r". Use o ntsysv, marque a opção syslogd, depois digite:
# service syslog restart
Se você usa o KDE, habilite o KnetMonApplet, configure ele para a velocidade menor que existir, por padrão ele vem configurado para 10MB/s, mude pra 36K para monitorar de maneira minuciosa o movimento na sua placa de rede.
Desabilite o applet chato klipper, ponha o knotes que é muito mais util, digamos que você no xconsole viu algum código estranho, pegue-o, cole-o no knotes e simplesmente feche-o, automaticamente. O knotes salva tudo o que nele for digitado e depois abre para você ver com apenas um clique. O KnetMonApplet vem no pacote knetmonapplet-0.6.7-25828cl.i386.rpm.
Bom é só isso, outro dia falo mais de segurança e das práticas bizarras que uso na minha máquina.
Até mais!