Configurando um servidor de logs simples

Quando uma máquina é invadida, a primeira coisa que o invasor vai querer fazer é apagar os vestígios de que esteve ali removendo as entradas que ficam armazenadas em log. Esse artigo nos mostra uma técnica que irá dificultar a vida dele

[ Hits: 51.033 ]

Por: Jeferson Fernando Noronha em 20/05/2004


Introdução



Quando uma máquina é invadida, a primeira coisa que o invasor vai querer fazer é não deixar vestígios de que esteve lá e não permitir que ninguém perceba a sua presença.

Para isso, ele irá modificar os logs do sistema para remover qualquer evidência de sua invasão. Para melhorar a confiabilidade dos arquivos de log aconselha-se o uso de um servidor que apenas coleta os logs das máquinas da rede. Desta maneira, mesmo que o invasor viole seu sistema primário (servidor de web por exemplo), ainda vai ter um outro conjunto de logs que não foram alterados.

Nada impede que ele também viole o servidor de logs, mas isto irá dificultar a vida dele. :)

    Próxima página

Páginas do artigo
   1. Introdução
   2. Configurando o cliente e o servidor
Outros artigos deste autor

Configurando o Modem HSP56 Micromodem no Linux

Instalando e configurando o Wine

Instalando e configurando um Webserver

Configurando placa de som CMI8738

Mudando a cara do Lilo

Leitura recomendada

Hotspot rápido com Coovachilli

Auditorias Teste de Invasão para Proteção de Redes Corporativas

Estrutura do Iptables

Terceirização de segurança gera dúvidas em profissionais de TI

Tor no BackTrack 5 - Instalação, configuração e utilização

  
Comentários
[1] Comentário enviado por fabio em 20/05/2004 - 05:45h

Bom, para usuários das mais variadas disitruições, aí vai a dica. Procurem pelo script que inicializa o serviço syslogd, no Debian é:

# vim /etc/init.d/sysklogd

Lá vocês vão mudar a linha:
SYSLOGD=""
para
SYSLOGD="-r"

Depois:

# /etc/init.d/sysklogd restart

e zé fini! :)

[2] Comentário enviado por naoexistemais em 20/05/2004 - 06:04h

Faltou uma observação

Inclua a informação de quem e o logserver dentro do /etc/hosts caso você opte por utilizar esta sintaxe

# echo -e '192.168.0.10 logserver' >> /etc/hosts

Até,



[3] Comentário enviado por bogdano em 21/05/2004 - 10:16h

Uma outra forma de 'garantir' que o tal hacker não vai conseguir modificar algum log seria redirecionar as mensagens mais importantes para uma impressora matricial (que faria também um barulhão, servindo também de alarme :), tornando-as 'físicas'.
É um pouco exagerada, mas é efetiva.

[4] Comentário enviado por y2h4ck em 21/05/2004 - 11:11h

Usando o LIDS bastaria adicionar uma regra
para tornar os logs como APPEND ..

assim o invasor mesmo estando como root nao iria conseguir
apagar nada.



[5] Comentário enviado por bogdano em 21/05/2004 - 11:36h

Eu sei que o FreeBSD tem uma flag a, para apenas adicionar conteúdo em um arquivo. O Linux possui algo parecido com isso, no kernel?

[6] Comentário enviado por brunonunes em 06/10/2010 - 16:20h

No debian Etch eu editei o arquivo /etc/default/syslogd:


Lá vocês vão mudar a linha:
SYSLOGD=""
para
SYSLOGD="-r"

Reinicie o Serviço.

/etc/init.d/syslogd restart


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts