Configurando um servidor de logs simples

Quando uma máquina é invadida, a primeira coisa que o invasor vai querer fazer é apagar os vestígios de que esteve ali removendo as entradas que ficam armazenadas em log. Esse artigo nos mostra uma técnica que irá dificultar a vida dele

[ Hits: 50.882 ]

Por: Jeferson Fernando Noronha em 20/05/2004


Introdução



Quando uma máquina é invadida, a primeira coisa que o invasor vai querer fazer é não deixar vestígios de que esteve lá e não permitir que ninguém perceba a sua presença.

Para isso, ele irá modificar os logs do sistema para remover qualquer evidência de sua invasão. Para melhorar a confiabilidade dos arquivos de log aconselha-se o uso de um servidor que apenas coleta os logs das máquinas da rede. Desta maneira, mesmo que o invasor viole seu sistema primário (servidor de web por exemplo), ainda vai ter um outro conjunto de logs que não foram alterados.

Nada impede que ele também viole o servidor de logs, mas isto irá dificultar a vida dele. :)

    Próxima página

Páginas do artigo
   1. Introdução
   2. Configurando o cliente e o servidor
Outros artigos deste autor

Mudando a cara do Lilo

Configurando o Modem HSP56 Micromodem no Linux

Configurando placa de som CMI8738

Instalando e configurando um Webserver

Instalando e configurando o Wine

Leitura recomendada

Enviando alertas do Snort por SMS

Snort + BarnYard2 + Snorby no Slackware 14.1

Gateway autenticado com Apache, Iptables e CGI em shell

Introdução ao Conceito de Hardening

VPN com openVPN no Slackware 11

  
Comentários
[1] Comentário enviado por fabio em 20/05/2004 - 05:45h

Bom, para usuários das mais variadas disitruições, aí vai a dica. Procurem pelo script que inicializa o serviço syslogd, no Debian é:

# vim /etc/init.d/sysklogd

Lá vocês vão mudar a linha:
SYSLOGD=""
para
SYSLOGD="-r"

Depois:

# /etc/init.d/sysklogd restart

e zé fini! :)

[2] Comentário enviado por naoexistemais em 20/05/2004 - 06:04h

Faltou uma observação

Inclua a informação de quem e o logserver dentro do /etc/hosts caso você opte por utilizar esta sintaxe

# echo -e '192.168.0.10 logserver' >> /etc/hosts

Até,



[3] Comentário enviado por bogdano em 21/05/2004 - 10:16h

Uma outra forma de 'garantir' que o tal hacker não vai conseguir modificar algum log seria redirecionar as mensagens mais importantes para uma impressora matricial (que faria também um barulhão, servindo também de alarme :), tornando-as 'físicas'.
É um pouco exagerada, mas é efetiva.

[4] Comentário enviado por y2h4ck em 21/05/2004 - 11:11h

Usando o LIDS bastaria adicionar uma regra
para tornar os logs como APPEND ..

assim o invasor mesmo estando como root nao iria conseguir
apagar nada.



[5] Comentário enviado por bogdano em 21/05/2004 - 11:36h

Eu sei que o FreeBSD tem uma flag a, para apenas adicionar conteúdo em um arquivo. O Linux possui algo parecido com isso, no kernel?

[6] Comentário enviado por brunonunes em 06/10/2010 - 16:20h

No debian Etch eu editei o arquivo /etc/default/syslogd:


Lá vocês vão mudar a linha:
SYSLOGD=""
para
SYSLOGD="-r"

Reinicie o Serviço.

/etc/init.d/syslogd restart


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts