Configurando um servidor de logs simples

Quando uma máquina é invadida, a primeira coisa que o invasor vai querer fazer é apagar os vestígios de que esteve ali removendo as entradas que ficam armazenadas em log. Esse artigo nos mostra uma técnica que irá dificultar a vida dele

[ Hits: 50.886 ]

Por: Jeferson Fernando Noronha em 20/05/2004


Configurando o cliente e o servidor



Configuração do cliente


A configuração do cliente é simples, basta editar o arquivo /etc/syslog.conf e adicionar a seguinte linha:

*.*                            @servidor_de_logs

Onde servidor_de_logs é o nome da máquina para onde serão enviadas as mensagens de log.

Configuração do servidor


Para o servidor aceitar logs de máquinas remotas, o syslog deve ser executado com a opção -r (remote reception - recepção remota).

Em alguns sabores de Linux, para que o syslog seja executado com a opção -r basta definir a variável LOGSERVER como yes no arquivo /etc/sysconfig/syslog.

Feitas as alterações, basta reiniciar o syslogd para que as mesmas entrem em vigor:

# killall -HUP syslogd

E é só isso! A partir de agora o seu servidor de logs já estará recebendo os logs da máquina cliente.

Espero ter ajudado.
bAd_TuX

Página anterior    

Páginas do artigo
   1. Introdução
   2. Configurando o cliente e o servidor
Outros artigos deste autor

Instalando e configurando um Webserver

Configurando vídeo no Linux usando frame buffer

Configurando placa de som CMI8738

Configurando o Modem HSP56 Micromodem no Linux

Instalando e configurando o Wine

Leitura recomendada

Introdução ao ModSecurity

Backup de sua instalação em .iso bootável

Servidor para centralização de logs - Fedora 7

Alta Disponibilidade (High Availability) em sistemas GNU/Linux

Vulnerabilidade e segurança no Linux

  
Comentários
[1] Comentário enviado por fabio em 20/05/2004 - 05:45h

Bom, para usuários das mais variadas disitruições, aí vai a dica. Procurem pelo script que inicializa o serviço syslogd, no Debian é:

# vim /etc/init.d/sysklogd

Lá vocês vão mudar a linha:
SYSLOGD=""
para
SYSLOGD="-r"

Depois:

# /etc/init.d/sysklogd restart

e zé fini! :)

[2] Comentário enviado por naoexistemais em 20/05/2004 - 06:04h

Faltou uma observação

Inclua a informação de quem e o logserver dentro do /etc/hosts caso você opte por utilizar esta sintaxe

# echo -e '192.168.0.10 logserver' >> /etc/hosts

Até,



[3] Comentário enviado por bogdano em 21/05/2004 - 10:16h

Uma outra forma de 'garantir' que o tal hacker não vai conseguir modificar algum log seria redirecionar as mensagens mais importantes para uma impressora matricial (que faria também um barulhão, servindo também de alarme :), tornando-as 'físicas'.
É um pouco exagerada, mas é efetiva.

[4] Comentário enviado por y2h4ck em 21/05/2004 - 11:11h

Usando o LIDS bastaria adicionar uma regra
para tornar os logs como APPEND ..

assim o invasor mesmo estando como root nao iria conseguir
apagar nada.



[5] Comentário enviado por bogdano em 21/05/2004 - 11:36h

Eu sei que o FreeBSD tem uma flag a, para apenas adicionar conteúdo em um arquivo. O Linux possui algo parecido com isso, no kernel?

[6] Comentário enviado por brunonunes em 06/10/2010 - 16:20h

No debian Etch eu editei o arquivo /etc/default/syslogd:


Lá vocês vão mudar a linha:
SYSLOGD=""
para
SYSLOGD="-r"

Reinicie o Serviço.

/etc/init.d/syslogd restart


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts