| Linux Security HOWTO: Una guía básica v0.9.11, 1 May 1998 | ||
|---|---|---|
| <<< Previous | Next >>> | |
Es muy importante que la información que llega con syslog no haya sido comprometida. Hacer que los ficheros de /var/log tengan lectura y escritura por un número limitado de usuarios es un buen comienzo.
Esté seguro de tener un ojo en lo que se escribe allí, especialmente con la utilidad 'auth'. Muchos fallos de login, por ejemplo, pueden indicar un intento de romper la seguridad del sistema.
Lo que debe buscar en los registros dependerá de la distribución. En sistemas Linux que verifican el Estándar de Sistema de Ficheros Linux ( "Linux Filesystem Standard"), como Red Hat, tendrá que mirar en /var/log and y comprobar messages, mail.log, y otros.
Puede encontrar donde su distribución registra la información mirando en su /etc/syslog.conf file. Este es el fichero que le dice a syslogd (el demonio de registros del sistema) donde registrar los distintos mensajes.
Podría también querer configurar el guión (script) de rotación de sus logs para una mayor duración para que le dé tiempo a examinarlos. Dele un vistazo a paquete logrotate de las distribuciones recientes de Red Hat. Otras distribuciones probablemente tengan un proceso similar.
Si su ficheros de registro han sido falsificados, determine cuando se inició y qué tipo de cosas parece que se han falsificado. ¿Hay largos periodos en los que no aparecen registros? Comprobar las cintas de copias de salvaguardia (si las tiene) para ver ficheros no falsificados puede ser una buena idea.
Los ficheros de de registro normalmente se modifican por el intruso para cubrir sus pistas, pero se deberían comprobar para buscar sucesos extraños. Puede darse cuenta del intruso que está intentando obtener acceso o explotar un programa para conseguir acceso de root. Debe ver los registros antes de que el intruso tenga tiempo de modificarlos.
Debería también estar seguro de separar la facilidad 'auth' de otros datos de registros, incluyendo intentos de cambios de usuario usando 'su', intentos de conexión y otra información de contabilidad.
Si es posible, configure syslog para enviar una copia de los datos más importantes a un sistema seguro. Esto nos prevendrá de que un intruso cubra sus huellas borrando sus intentos login/su/ftp/etc. Vea la página de manual de syslog.conf y busque la opción `@'.
Finalmente los ficheros de registro son mucho menos útiles cuando nadie los lee. Tome algún tiempo de vez en cuando para mirar sus registros, y vea como son en un día normal. Esto, le será útil para distinguir cuando pasa algo inusual.
| <<< Previous | Home | Next >>> |
| 8.3 Copiar su Base de Datos RPM o Debian | 8.5 Aplicar Todas las Nuevas Actualizaciones del Sistema |