Diferència entre revisions de la pàgina «Auditoria en Linux»

De Cacauet Wiki
Salta a la navegació Salta a la cerca
(Es crea la pàgina amb « == Arxius de registre (log) == ... == rsyslog == ... === Configuració === /etc/syslog.conf Podem configurar: * selector: facility, priority * acció === Comanda...».)
 
 
Línia 37: Línia 37:
 
Podeu fer un cop d'ull a aquest script per veure com fer que ens avisi cada cop que algú es loga al sistema:
 
Podeu fer un cop d'ull a aquest script per veure com fer que ens avisi cada cop que algú es loga al sistema:
 
* http://unix.stackexchange.com/questions/143864/monitor-all-login-attempts
 
* http://unix.stackexchange.com/questions/143864/monitor-all-login-attempts
 +
 +
 +
=== Exercici ===
 +
# Implementeu l'enviament d'emails de l'anterior link, quan es loga algun usuari.
 +
# Introduiu un script simple al cron que s'executi cada minut
 +
# Observeu quins missatges ens arriben al correu
 +
# Modifiqueu la configuració per logar només quan els inicis de sessió siguin per SSH o bé per SUDO
 +
#: Analitzeu el auth.log per saber quines modificacions heu de fer.

Revisió de 12:12, 16 nov 2015

Arxius de registre (log)[modifica]

...


rsyslog[modifica]

...

Configuració[modifica]

/etc/syslog.conf

Podem configurar:

  • selector: facility, priority
  • acció

Comanda logger[modifica]

Permet desar una entrada en els arxius de log:

$ logger [-is] [-p prioritat] [-t tag] missatge...

Per comprovar-ho, obre una altra shell i fes un tail -f per visualitzar quan realitzes un log personalitzat:

$ tail -f /var/log/syslog

Logrotate[modifica]

Compressió dels arxius antics de log. Si no es fes, ocuparien massa espai en disc i el podriem saturar. ...

Lastlog[modifica]

Permeten rastrejar la pista dels logins d'usuaris logats. Comandes:

  • lastlog
  • last



Enviant emails en certs events[modifica]

El mòdul ommail del dimoni ryslogd pot enviar correus en determinats envents.

Podeu fer un cop d'ull a aquest script per veure com fer que ens avisi cada cop que algú es loga al sistema:


Exercici[modifica]

  1. Implementeu l'enviament d'emails de l'anterior link, quan es loga algun usuari.
  2. Introduiu un script simple al cron que s'executi cada minut
  3. Observeu quins missatges ens arriben al correu
  4. Modifiqueu la configuració per logar només quan els inicis de sessió siguin per SSH o bé per SUDO
    Analitzeu el auth.log per saber quines modificacions heu de fer.