Configurando um servidor de logs simples

bad_tux

Quando uma máquina é invadida, a primeira coisa que o invasor vai querer fazer é apagar os vestígios de que esteve ali removendo as entradas que ficam armazenadas em log. Esse artigo nos mostra uma técnica que irá dificultar a vida dele

[ Hits: 51.068 ]

Por: Jeferson Fernando Noronha em 20/05/2004

0 0

Denuncie Favoritos Indicar Impressora

Introdução

Quando uma máquina é invadida, a primeira coisa que o invasor vai querer fazer é não deixar vestígios de que esteve lá e não permitir que ninguém perceba a sua presença.

Para isso, ele irá modificar os logs do sistema para remover qualquer evidência de sua invasão. Para melhorar a confiabilidade dos arquivos de log aconselha-se o uso de um servidor que apenas coleta os logs das máquinas da rede. Desta maneira, mesmo que o invasor viole seu sistema primário (servidor de web por exemplo), ainda vai ter um outro conjunto de logs que não foram alterados.

Nada impede que ele também viole o servidor de logs, mas isto irá dificultar a vida dele. :)

Próxima página

Páginas do artigo

1. Introdução
2. Configurando o cliente e o servidor

Outros artigos deste autor

Instalando e configurando o Wine

Instalando e configurando um Webserver

Configurando o Modem HSP56 Micromodem no Linux

Configurando vídeo no Linux usando frame buffer

Mudando a cara do Lilo

Leitura recomendada

IPtables e seus módulos

Instalação do Snort + BASE no Debian Etch pelos fontes

GNU/Linux é 100% Seguro?

Estrutura do Iptables

wlmproxy - um proxy superior

Comentários

[1] Comentário enviado por fabio em 20/05/2004 - 05:45h

Bom, para usuários das mais variadas disitruições, aí vai a dica. Procurem pelo script que inicializa o serviço syslogd, no Debian é:

# vim /etc/init.d/sysklogd

Lá vocês vão mudar a linha:
SYSLOGD=""
para
SYSLOGD="-r"

Depois:

# /etc/init.d/sysklogd restart

e zé fini! :)

0 0

[2] Comentário enviado por naoexistemais em 20/05/2004 - 06:04h

Faltou uma observação

Inclua a informação de quem e o logserver dentro do /etc/hosts caso você opte por utilizar esta sintaxe

# echo -e '192.168.0.10 logserver' >> /etc/hosts

Até,

0 0

[3] Comentário enviado por bogdano em 21/05/2004 - 10:16h

Uma outra forma de 'garantir' que o tal hacker não vai conseguir modificar algum log seria redirecionar as mensagens mais importantes para uma impressora matricial (que faria também um barulhão, servindo também de alarme :), tornando-as 'físicas'.
É um pouco exagerada, mas é efetiva.

1 0

[4] Comentário enviado por y2h4ck em 21/05/2004 - 11:11h

Usando o LIDS bastaria adicionar uma regra
para tornar os logs como APPEND ..

assim o invasor mesmo estando como root nao iria conseguir
apagar nada.

0 0

[5] Comentário enviado por bogdano em 21/05/2004 - 11:36h

Eu sei que o FreeBSD tem uma flag a, para apenas adicionar conteúdo em um arquivo. O Linux possui algo parecido com isso, no kernel?

0 0

[6] Comentário enviado por brunonunes em 06/10/2010 - 16:20h

No debian Etch eu editei o arquivo /etc/default/syslogd:

Lá vocês vão mudar a linha:
SYSLOGD=""
para
SYSLOGD="-r"

Reinicie o Serviço.

/etc/init.d/syslogd restart

1 0