Auditoria en Linux

De Cacauet Wiki
Dreceres ràpides: navegació, cerca

Arxius de registre (log)[modifica]

...


rsyslog[modifica]

...

Configuració[modifica]

/etc/syslog.conf

Podem configurar:

  • selector: facility, priority
  • acció

Comanda logger[modifica]

Permet desar una entrada en els arxius de log:

$ logger [-is] [-p prioritat] [-t tag] missatge...

Per comprovar-ho, obre una altra shell i fes un tail -f per visualitzar quan realitzes un log personalitzat:

$ tail -f /var/log/syslog

Logrotate[modifica]

Compressió dels arxius antics de log. Si no es fes, ocuparien massa espai en disc i el podriem saturar. ...

Lastlog[modifica]

Permeten rastrejar la pista dels logins d'usuaris logats. Comandes:

  • lastlog
  • last



Enviant emails en certs events[modifica]

El mòdul ommail del dimoni ryslogd pot enviar correus en determinats envents.

Podeu fer un cop d'ull a aquest script per veure com fer que ens avisi cada cop que algú es loga al sistema:


Exercici[modifica]

  1. Implementeu l'enviament d'emails de l'anterior link, quan es loga algun usuari.
  2. Introduiu un script simple al cron que s'executi cada minut
  3. Observeu quins missatges ens arriben al correu
  4. Modifiqueu la configuració per logar només quan els inicis de sessió siguin per SSH o bé per SUDO
    Analitzeu el auth.log per saber quines modificacions heu de fer.