Servidor para centralização de logs - Fedora 7
Em redes de grande porte com muitos servidores, fica impossível dar a devida atenção a cada servidor. Para um melhor trabalho é interessante centralizar os logs em um único servidor e, a partir dele, gerar relatórios e comparativos.
Configurando um servidor concentrador de logs
Em redes com muitos servidores, a tarefa de gerenciar os logs dos servidores fica complicada. Para resolver esse problema uma facilidade que pode ser utilizada é a centralização dos logs.
A técnica consiste em configurar uma máquina como servidor de logs e configurar o restante dos servidores para que seus logs sejam enviados para o servidor de logs.
A partir dessa centralização é possível obter-se muitas informações, inclusive informações comparativas, como por exemplo, saber qual servidor recebe mais acessos. Os arquivos de log podem ser analisados de forma mais clara com diversas ferramentas especializadas.
Outro benefício da centralização dos logs é a possibilidade de ter os logs das máquinas armazenados em uma outra máquina, pense na hipótese de uma "pessoa" invadir um servidor, o "invasor" invade o servidor e apaga todos os seus logs, como os logs são gravados automaticamente em um outro servidor esse "invasor" terá mais dificuldade para ocultar seus rastros.
1) Desative, através do comando ntsysv, o serviço syslogd.
2) Digite:
# /etc/init.d/syslog stop
3) Digite o comando:
# /sbin/syslogd -r -m 0
4) Edite o arquivo rc.local:
# vi /etc/rc.d/rc.local
e adicione a linha:
A técnica consiste em configurar uma máquina como servidor de logs e configurar o restante dos servidores para que seus logs sejam enviados para o servidor de logs.
A partir dessa centralização é possível obter-se muitas informações, inclusive informações comparativas, como por exemplo, saber qual servidor recebe mais acessos. Os arquivos de log podem ser analisados de forma mais clara com diversas ferramentas especializadas.
Outro benefício da centralização dos logs é a possibilidade de ter os logs das máquinas armazenados em uma outra máquina, pense na hipótese de uma "pessoa" invadir um servidor, o "invasor" invade o servidor e apaga todos os seus logs, como os logs são gravados automaticamente em um outro servidor esse "invasor" terá mais dificuldade para ocultar seus rastros.
Inicialização do servidor de logs
Inicialização do servidor centralizador de logs:1) Desative, através do comando ntsysv, o serviço syslogd.
2) Digite:
# /etc/init.d/syslog stop
3) Digite o comando:
# /sbin/syslogd -r -m 0
4) Edite o arquivo rc.local:
# vi /etc/rc.d/rc.local
e adicione a linha:
/sbin/syslogd -r -m 0
temos que ter em mente alguns riscos envolvidos nisto:
- 1) Os logs trafegam em Clear Text pela rede: Se alguem estiver sniffando a rede e pegar um auth.log passando pode conseguir informações uteis para um ataque mais perigoso.
- 2) Deve-se tomar cuidado com uso de hostnames em servers de syslog uma vez que se um atacante fizer um DNS Spoof na rede pode direcionar todos os logs para a maquina dele e ferrar com tudo.
Bom, workaround ? Pode-se criar um túnel com Stunnel e criptografar usando TLS/SSL dai fica mto bom =]
Como Admin seu artigo é 10, como segurança é 5 :P
Valeu. []s