Auditoria en Linux

Arxius de registre (log)

...

rsyslog

...

Configuració

/etc/syslog.conf

Podem configurar:

• selector: facility, priority
• acció

Comanda logger

Permet desar una entrada en els arxius de log:

$ logger [-is] [-p prioritat] [-t tag] missatge...

Per comprovar-ho, obre una altra shell i fes un tail -f per visualitzar quan realitzes un log personalitzat:

$ tail -f /var/log/syslog

Logrotate

Compressió dels arxius antics de log. Si no es fes, ocuparien massa espai en disc i el podriem saturar. ...

Lastlog

Permeten rastrejar la pista dels logins d'usuaris logats. Comandes:

• lastlog
• last

Enviant emails en certs events

El mòdul ommail del dimoni ryslogd pot enviar correus en determinats envents.

Podeu fer un cop d'ull a aquest script per veure com fer que ens avisi cada cop que algú es loga al sistema:

• http://unix.stackexchange.com/questions/143864/monitor-all-login-attempts

Exercici

1. Implementeu l'enviament d'emails de l'anterior link, quan es loga algun usuari.
2. Introduiu un script simple al cron que s'executi cada minut
3. Observeu quins missatges ens arriben al correu
4. Modifiqueu la configuració per logar només quan els inicis de sessió siguin per SSH o bé per SUDO

   Analitzeu el auth.log per saber quines modificacions heu de fer.