Tareas
Páginas: 19 (4699 palabras)
Publicado: 10 de noviembre de 2012
ELEMENTOS DE ADMINISTRACIÓNBITÁCORAS DEL SISTEMALa seguridad y administración de un sistema operativo tiene en las bitácoras un gran aliado, ya que en ellas se registran los eventos que ocurren el sistema operativo, es decir eventos que el administrador pasaría inadvertidos sin el respaldo de las bitácoras.Para una buena administración de bitácoras es necesario conocer 3 cosas: 1. Conocer elpropósito de cada bitácora. 2. Conocer el formato en el que se presenta la información. 3. Conocer los ataques propios de cada servicio.Las bitácoras en el caso de Linux están dentro del directorio /var/log/, para otros sistemasUnix se encuentran en /var/adm/, el propósito de las bitácoras encontradas mas comúnmente es se muestra a continuación:SYSLOGEl demonio syslogd (Syslog Daemon) se lanzaautomáticamente al arrancar un sistemaUnix, y es el encargado de guardar informes sobre el funcionamiento de la máquina. Recibe mensajes de las diferentes partes del sistema (Kernel, programas...) y los envía y/o almacena en diferentes localizaciones, tanto locales como remotas, siguiendo un criterio definido en el fichero de configuración /etc/syslog.conf, donde especificamos las reglas a seguirpara gestionar el almacenamiento de mensajes del sistema.Cada programa puede generar un mensaje de syslog, el cual consta de 4 partes:Nombre del programa
Facility (servicio o facilidad)
Prioridad
Mensaje de bitácora.Es posible configurar syslogd para que cada tipo de mensaje sea depositado en uno o varios archivos. Por regla general, el archivo /var/log/messages contiene los logs de lamayoría de los eventos. Programa | Mensaje | Significado |
halt | halted by <usuario> | El <usuario> uso el comandohalt |
login | ROOT LOGIN REFUSED ON <tty> [FROM<host>] | Intento ingresar como root, esto no es una acción segura. |
login | REPEATED LOGIN FAILURES ON <tty> [FROM<host>] <usuario> | Alguien intento ingresar y fallo mas de 5 veces |
reboot |Rebooted by <usuario> | El <usuario> uso el comandoreboot |
su | BAD su <usuario> on <tty> | El <usuario> uso el comando su y no tecleo el passwordcorrecto |
shutdown | Reboot, halt o shutdown by <usuario> | El <usuario> uso el comandohalt, shutdown o reboot |
Mensajes típicos de información: Programa | Mensaje | Significado |
date | Data set by<usuario> | <usuario> cambio la fecha |
login | ROOT LOGIN REFUSED ON <tty> [FROM<host>] | Intento ingresar como root, esto no es una acción segura. |
su | BAD su <usuario> on <tty> | Su para cambiar a SuperUsuario |
getty | <tty> | Abrir <tty> |
Bitácoras básicasmessagesEste archivo contiene bastante información, por lo que debemos buscarsucesos inusuales, aquí podemos ver todos los mensajes que el sistema mando a la consola, por ejemplo, cuando el usuario hace el login, los TCP_WRAPPERS mandan aquí la información, el cortafuegos de paquetes IP también la manda aquí, etc.Para observar los primeros 10 mensajes contenidos en este archivo podemos ejecutar el siguiente comando: more messages | head, esto despliega una lista actualizadasimilar la siguiente:Dec 4 09:07:19 localhost syslogd 1.4-0: restart.
Dec 4 09:07:19 localhost syslogd 1.4-0: restart.
Dec 4 09:07:20 localhost syslogd 1.4-0: restart.
Dec 4 09:07:20 localhost syslogd 1.4-0: restart.
Dec 4 09:07:20 localhost syslogd 1.4-0: restart.
Dec 4 09:07:20 localhost syslogd 1.4-0: restart.
dic 4 10:31:10 localhost gdm[798]: gdm_child_action: Masterrebooting...
dic 410:31:11 localhost rc: Stopping keytable: succeeded
Dec 4 10:31:11 localhost Font Server[767]: terminating
dic 4 10:31:12 localhost xfs: xfs shutdown succeededxferlogSi el sistema comprometido tiene servicio FTP, este archivo contiene el loggeo de todos los procesos del FTP. Podemos examinar que tipo de herramientas han subido y que archivos han bajado de nuestro servidor.Su formato normal es:...
Facility (servicio o facilidad)
Prioridad
Mensaje de bitácora.Es posible configurar syslogd para que cada tipo de mensaje sea depositado en uno o varios archivos. Por regla general, el archivo /var/log/messages contiene los logs de lamayoría de los eventos. Programa | Mensaje | Significado |
halt | halted by <usuario> | El <usuario> uso el comandohalt |
login | ROOT LOGIN REFUSED ON <tty> [FROM<host>] | Intento ingresar como root, esto no es una acción segura. |
login | REPEATED LOGIN FAILURES ON <tty> [FROM<host>] <usuario> | Alguien intento ingresar y fallo mas de 5 veces |
reboot |Rebooted by <usuario> | El <usuario> uso el comandoreboot |
su | BAD su <usuario> on <tty> | El <usuario> uso el comando su y no tecleo el passwordcorrecto |
shutdown | Reboot, halt o shutdown by <usuario> | El <usuario> uso el comandohalt, shutdown o reboot |
Mensajes típicos de información: Programa | Mensaje | Significado |
date | Data set by<usuario> | <usuario> cambio la fecha |
login | ROOT LOGIN REFUSED ON <tty> [FROM<host>] | Intento ingresar como root, esto no es una acción segura. |
su | BAD su <usuario> on <tty> | Su para cambiar a SuperUsuario |
getty | <tty> | Abrir <tty> |
Bitácoras básicasmessagesEste archivo contiene bastante información, por lo que debemos buscarsucesos inusuales, aquí podemos ver todos los mensajes que el sistema mando a la consola, por ejemplo, cuando el usuario hace el login, los TCP_WRAPPERS mandan aquí la información, el cortafuegos de paquetes IP también la manda aquí, etc.Para observar los primeros 10 mensajes contenidos en este archivo podemos ejecutar el siguiente comando: more messages | head, esto despliega una lista actualizadasimilar la siguiente:Dec 4 09:07:19 localhost syslogd 1.4-0: restart.
Dec 4 09:07:19 localhost syslogd 1.4-0: restart.
Dec 4 09:07:20 localhost syslogd 1.4-0: restart.
Dec 4 09:07:20 localhost syslogd 1.4-0: restart.
Dec 4 09:07:20 localhost syslogd 1.4-0: restart.
Dec 4 09:07:20 localhost syslogd 1.4-0: restart.
dic 4 10:31:10 localhost gdm[798]: gdm_child_action: Masterrebooting...
dic 410:31:11 localhost rc: Stopping keytable: succeeded
Dec 4 10:31:11 localhost Font Server[767]: terminating
dic 4 10:31:12 localhost xfs: xfs shutdown succeededxferlogSi el sistema comprometido tiene servicio FTP, este archivo contiene el loggeo de todos los procesos del FTP. Podemos examinar que tipo de herramientas han subido y que archivos han bajado de nuestro servidor.Su formato normal es:...
Leer documento completo
Regístrate para leer el documento completo.