Configurando um servidor de logs simples
Quando uma máquina é invadida, a primeira coisa que o invasor vai querer fazer é apagar os vestígios de que esteve ali removendo as entradas que ficam armazenadas em log. Esse artigo nos mostra uma técnica que irá dificultar a vida dele
[ Hits: 51.035 ]
Por: Jeferson Fernando Noronha em 20/05/2004
Introdução
Para isso, ele irá modificar os logs do sistema para remover qualquer evidência de sua invasão. Para melhorar a confiabilidade dos arquivos de log aconselha-se o uso de um servidor que apenas coleta os logs das máquinas da rede. Desta maneira, mesmo que o invasor viole seu sistema primário (servidor de web por exemplo), ainda vai ter um outro conjunto de logs que não foram alterados.
Nada impede que ele também viole o servidor de logs, mas isto irá dificultar a vida dele. :)
2. Configurando o cliente e o servidor
Instalando e configurando um Webserver
Configurando o Modem HSP56 Micromodem no Linux
Instalando e configurando o Wine
Configurando placa de som CMI8738
kvrt: O novo antivírus gratuito da Kaspersky para Linux
Data Recovery em dispositivos e partições formatadas com Linux
Aplicação do firmware intel-microcode no Slackware
Encapsulando BIND 9 e Apache 2 para obter maior segurança
Snort avançado: Projetando um perímetro seguro
Bom, para usuários das mais variadas disitruições, aí vai a dica. Procurem pelo script que inicializa o serviço syslogd, no Debian é:
# vim /etc/init.d/sysklogd
Lá vocês vão mudar a linha:
SYSLOGD=""
para
SYSLOGD="-r"
Depois:
# /etc/init.d/sysklogd restart
e zé fini! :)
Faltou uma observação
Inclua a informação de quem e o logserver dentro do /etc/hosts caso você opte por utilizar esta sintaxe
# echo -e '192.168.0.10 logserver' >> /etc/hosts
Até,
Uma outra forma de 'garantir' que o tal hacker não vai conseguir modificar algum log seria redirecionar as mensagens mais importantes para uma impressora matricial (que faria também um barulhão, servindo também de alarme :), tornando-as 'físicas'.
É um pouco exagerada, mas é efetiva.
Usando o LIDS bastaria adicionar uma regra
para tornar os logs como APPEND ..
assim o invasor mesmo estando como root nao iria conseguir
apagar nada.
Eu sei que o FreeBSD tem uma flag a, para apenas adicionar conteúdo em um arquivo. O Linux possui algo parecido com isso, no kernel?
No debian Etch eu editei o arquivo /etc/default/syslogd:
Lá vocês vão mudar a linha:
SYSLOGD=""
para
SYSLOGD="-r"
Reinicie o Serviço.
/etc/init.d/syslogd restart
Patrocínio
Destaques
Artigos
Instalar e Configurar o Slackware Linux em 2025
Como configurar os repositórios do apt no Debian 12 em 2025
Passkeys: A Evolução da Autenticação Digital
Instalação de distro Linux em computadores, netbooks, etc, em rede com o Clonezilla
Dicas
Como colorir os logs do terminal com ccze
Instalação Microsoft Edge no Linux Mint 22
Como configurar posicionamento e movimento de janelas no Lubuntu (Openbox) com atalhos de teclado
Máquinas Virtuais com IP estático acessando Internet no Virtualbox
Tópicos
Criar entrada no GRUB para uma ISO Linux (7)
Open Suse não abre wi-fi automaticamente (3)
Ruído no Microfone (ALC287 - AMD Ryzen 5 7535HS) no Debian 12.9 (15)
Top 10 do mês
-
Xerxes
1° lugar - 74.072 pts -
Fábio Berbert de Paula
2° lugar - 52.281 pts -
Mauricio Ferrari
3° lugar - 16.700 pts -
Buckminster
4° lugar - 15.922 pts -
Diego Mendes Rodrigues
5° lugar - 14.653 pts -
Daniel Lara Souza
6° lugar - 14.593 pts -
Alberto Federman Neto.
7° lugar - 14.007 pts -
Andre (pinduvoz)
8° lugar - 13.218 pts -
edps
9° lugar - 12.871 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
10° lugar - 11.436 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
