Configurando um servidor de logs simples
Quando uma máquina é invadida, a primeira coisa que o invasor vai querer fazer é apagar os vestígios de que esteve ali removendo as entradas que ficam armazenadas em log. Esse artigo nos mostra uma técnica que irá dificultar a vida dele
[ Hits: 51.030 ]
Por: Jeferson Fernando Noronha em 20/05/2004
Introdução
Para isso, ele irá modificar os logs do sistema para remover qualquer evidência de sua invasão. Para melhorar a confiabilidade dos arquivos de log aconselha-se o uso de um servidor que apenas coleta os logs das máquinas da rede. Desta maneira, mesmo que o invasor viole seu sistema primário (servidor de web por exemplo), ainda vai ter um outro conjunto de logs que não foram alterados.
Nada impede que ele também viole o servidor de logs, mas isto irá dificultar a vida dele. :)
2. Configurando o cliente e o servidor
Instalando e configurando o Wine
Configurando placa de som CMI8738
Instalando e configurando um Webserver
Configurando o Modem HSP56 Micromodem no Linux
Configurando vídeo no Linux usando frame buffer
Antivírus ClamAV com proteção em tempo real
OSSEC HIDS - Instalação e configuração no CentOS 6.5
Trilhas de Certificação em Segurança da Informação - Qual caminho seguir?
Burlando "MSN Sniffers" com TOR e Gaim
Bom, para usuários das mais variadas disitruições, aí vai a dica. Procurem pelo script que inicializa o serviço syslogd, no Debian é:
# vim /etc/init.d/sysklogd
Lá vocês vão mudar a linha:
SYSLOGD=""
para
SYSLOGD="-r"
Depois:
# /etc/init.d/sysklogd restart
e zé fini! :)
Faltou uma observação
Inclua a informação de quem e o logserver dentro do /etc/hosts caso você opte por utilizar esta sintaxe
# echo -e '192.168.0.10 logserver' >> /etc/hosts
Até,
Uma outra forma de 'garantir' que o tal hacker não vai conseguir modificar algum log seria redirecionar as mensagens mais importantes para uma impressora matricial (que faria também um barulhão, servindo também de alarme :), tornando-as 'físicas'.
É um pouco exagerada, mas é efetiva.
Usando o LIDS bastaria adicionar uma regra
para tornar os logs como APPEND ..
assim o invasor mesmo estando como root nao iria conseguir
apagar nada.
Eu sei que o FreeBSD tem uma flag a, para apenas adicionar conteúdo em um arquivo. O Linux possui algo parecido com isso, no kernel?
No debian Etch eu editei o arquivo /etc/default/syslogd:
Lá vocês vão mudar a linha:
SYSLOGD=""
para
SYSLOGD="-r"
Reinicie o Serviço.
/etc/init.d/syslogd restart
Patrocínio
Destaques
Artigos
Instalar e Configurar o Slackware Linux em 2025
Como configurar os repositórios do apt no Debian 12 em 2025
Passkeys: A Evolução da Autenticação Digital
Instalação de distro Linux em computadores, netbooks, etc, em rede com o Clonezilla
Dicas
Como colorir os logs do terminal com ccze
Instalação Microsoft Edge no Linux Mint 22
Como configurar posicionamento e movimento de janelas no Lubuntu (Openbox) com atalhos de teclado
Máquinas Virtuais com IP estático acessando Internet no Virtualbox
Tópicos
Open Suse não abre wi-fi automaticamente (1)
Criar entrada no GRUB para uma ISO Linux (5)
Ruído no Microfone (ALC287 - AMD Ryzen 5 7535HS) no Debian 12.9 (15)
Top 10 do mês
-
Xerxes
1° lugar - 73.484 pts -
Fábio Berbert de Paula
2° lugar - 51.852 pts -
Mauricio Ferrari
3° lugar - 16.551 pts -
Buckminster
4° lugar - 15.816 pts -
Diego Mendes Rodrigues
5° lugar - 14.573 pts -
Daniel Lara Souza
6° lugar - 14.485 pts -
Alberto Federman Neto.
7° lugar - 13.896 pts -
Andre (pinduvoz)
8° lugar - 13.146 pts -
edps
9° lugar - 12.790 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
10° lugar - 11.336 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
