SlideShare una empresa de Scribd logo

Logs y Auditoría - Herramientas clave

Descargar como PPTX, PDF
P
ProfesoraBrendaBarragan

Este documento describe las herramientas y procesos de registro y auditoría en sistemas Linux. Los registros se almacenan en el directorio /var/log y se pueden examinar con utilidades como lastlog y last. Syslogd y klogd manejan los mensajes del kernel y el sistema en /var/log/messages. logrotate gestiona el tamaño de los archivos de registro rotándolos y comprimiéndolos.

1 de 18
Logs y Auditoría
Logs y Auditoría • ● Contenido: • – Introducción • – Archivos • – Utilidades • ● Lastlog • ● Last • – Barredores • – Syslog • – Logrotate • – Otras herramientas
Logs y Auditoría - Introducción ¿Qué es logging? • Cualquier procedimiento por el que un sistema operativo o aplicación graba eventos mientras ocurren y los guarda para un examen posterior. • Es un componente esencial de cualquier sistema operativo, al cual se le debe prestar mucha atención. • En cuanto a seguridad nos permite mantener un registro de las acciones dañinas de un atacante. Son la evidencia de que “nos han atacado”
Logs y Auditoría - Archivos ● Toda la estructura de archivos de log se encuentra en el directorio: /var/log/ ● Este directorio contiene multitud de archivos que corresponden a distintos servicios que se ejecutan en nuestra máquina y posteriormente imprimen su actividad en el fichero de log correspondiente o incluso en ficheros de log compartidos ● Se pueden ver estos fichero con el típico comando “tail -f /var/log/nombrefichero”
Logs y Auditoría – Utilidades ● Puede resultar muy engorroso examinar los archivos de logs directamente y mucho más dificil de detectar anomalías, errores o situaciones extrañas en nuestro sistema, para eso en el sistema existen utilidades que nos presentan esta información de forma más comoda y legible: ● lastlog ● last
Logs y Auditoría - lastlog Se encarga de imprimir información relativa a los logins de los usuarios de forma que muestra todos los usuarios contenidos en “/etc/passwd” y su último login si ha iniciado sesion alguna vez y si no un mensaje “**Never Logged in**”. Esta utilidad lee la información del fichero “/var/log/lastlog”: Username Port From Latest root tty1 Thu Jul 1 12:12:12 2003 user1 ttyp0 172.16.0.1 Thu Jul 1 12:15:00 2003 user2 **Never Logged in**
Logs y Auditoría - last Informa del último login de usuarios, pero esta vez mostrando información sólo de los usuarios que han hecho “log in”, dando así información como: usuarios, terminal usado, IP, fecha y hora y duración de sus sesiones. Esta utilidad lee la información del fichero “/var/log/wtmp”: root tty1 Thu Jul 1 12:12 Still logged in user1 ttyp0 172.16.0.1 Thu Jul 1 12:15 – 12:20 (05:00)
Logs y Auditoría - Barredores A pesar de la existencia de logs del sistema que nos permiten registrar intentos de ataques y sus autores, esto no es infalible y así un buen atacante puede eliminar las pistas de su ataque mediante la utilización de programas llamados barredores o limpiadores. Estos programas básicamente se encargan de borrar las entradas de los ficheros de logs correspondientes, de forma que no queden indicios de su entrada.
Logs y Auditoría - Barredores Algunos de estos programas son: – Cloak2 (shadowing) – Utclean (elimina entradas) – SYSLOG Fogger (entradas falsas) – Marry (editor) ● Existen formas de evitar que los atacantes borren sus rastros del todo: – Copias de seguridad de logs en otras máquinas. – Herramientas de logging de terceros.
Logs y Auditoría – Mensajes Kernel y Sistema Existen dos demonios que se encargan de manejar los mensajes del kernel y del sistema, estos son: – syslogd: Guarda los logs del sistema y de muchos servicios. Guarda el nombre del programa, el tipo de servicio, la prioridad y el mensaje del propio programa. – klogd:Guarda los logs propios del kernel para su posterior análisis en caso de error, por ejemplo. ● Ambos escriben sus mensajes en “/var/log/messages”
Logs y Auditoría – Syslog.conf ● El syslogd nos permite personalizar los loggings del sistema mediante el fichero de configuración “/etc/syslog.conf”. Aquí se define todo sobre lo que se quiere hacer log, para esto se definen normas con dos campos: – Selector = A qué hacer log. – Action = Dónde hacer log.
Logs y Auditoría – Syslog.conf Campo Selector: – Consta de dos partes: type (facility) y priority. ● Type: – auth ● Priority: – authpriv – alert – cron – crit – daemon – debug – kern – emerg – lpr – err – mail – info – notice – news – warning – uucp
Logs y Auditoría – Syslog.conf Campo Action: – Especifica a donde deben ir los mensajes, normalmente es un fichero, aunque otras opciones muy interesantes son: ● Consola ● Máquina remota ● Usuarios concretos ● Todos los usuarios
Logs y Auditoría – Syslog.conf Ejemplo de syslog.conf: #kernel kern.* /dev/console # The authpriv file goes to a remote host. authpriv.* @otramaquina # Log all the mail messages in one place. mail.* /var/log/maillog # Log cron stuff cron.* /var/log/cron # Everybody gets emergency messages *.emerg * # Save news errors of level crit and higher in a special file. uucp,news.crit /var/log/spooler
Logs y Auditoría – logrotate Cuando tenemos un gran sistema linux con muchos usuarios, máquinas, etc, los logs pueden llegar a ser ficheros muy grandes. Para solucionar esto se usa logrotate que nos permitirá realizar copias de seguridad de los logs o rotarlos. También permite comprimir y enviar logs. ● Para realizar esto se usa el cron, al cual se le indicará si queremos hacer esto diariamente, semanalmente, etc.
Logs y Auditoría – logrotate Algunas opciones interesantes de logrotate: – Compress – Daily – Endscript – Mail [dirección de correo] – Monthly – Nocompress – Rotate [n] – Size – weekly
Logs y Auditoría – logrotate Ejemplo: errors pepe@mail.com compress /var/log/messages { rotate 5 weekly postrotate endscript }
Logs y Auditoría – Otras herramientas LogWatch – Analiza los logs durante un periodo de tiempo especificado por el usuario y genera informes personalizables y de fácil lectura para el administrador. ● Secure Syslog – Herramienta de logging de sistema criptográficamente segura, que permite la auditoría remota de los logs. Así un si un intruso entra con privilegios de root sigue siendo posible auditar el sistema.

Recomendados

Presentación de logs
Presentación de logsPresentación de logs
Presentación de logsMatías Leal
 
Ficheros de ayuda en aplicaciones
Ficheros de ayuda en aplicacionesFicheros de ayuda en aplicaciones
Ficheros de ayuda en aplicacionesLaura Folgado Galache
 
14 Clase Flujo De AnáLisis Ii
14 Clase Flujo De AnáLisis Ii14 Clase Flujo De AnáLisis Ii
14 Clase Flujo De AnáLisis IiJulio Pari
 
Cuadro Comparativo Bd
Cuadro Comparativo BdCuadro Comparativo Bd
Cuadro Comparativo Bdalinacarrion
 
Introducción a Foundation 5
Introducción a Foundation 5Introducción a Foundation 5
Introducción a Foundation 5Cycle-IT
 
Grupo 1 diagramas-consorcio-juridico
Grupo 1 diagramas-consorcio-juridicoGrupo 1 diagramas-consorcio-juridico
Grupo 1 diagramas-consorcio-juridicoCarlos Tapia
 
1.1 REQUERIMIENTOS DE PROCESO
1.1 REQUERIMIENTOS DE PROCESO1.1 REQUERIMIENTOS DE PROCESO
1.1 REQUERIMIENTOS DE PROCESOmataditoxd
 
Generación de Interfaces a partir de XML
Generación de Interfaces a partir de XMLGeneración de Interfaces a partir de XML
Generación de Interfaces a partir de XMLJose Benítez Andrades
 

Recomendados

Presentación de logs
Presentación de logsPresentación de logs
Presentación de logsMatías Leal
 
Ficheros de ayuda en aplicaciones
Ficheros de ayuda en aplicacionesFicheros de ayuda en aplicaciones
Ficheros de ayuda en aplicacionesLaura Folgado Galache
 
14 Clase Flujo De AnáLisis Ii
14 Clase Flujo De AnáLisis Ii14 Clase Flujo De AnáLisis Ii
14 Clase Flujo De AnáLisis IiJulio Pari
 
Cuadro Comparativo Bd
Cuadro Comparativo BdCuadro Comparativo Bd
Cuadro Comparativo Bdalinacarrion
 
Introducción a Foundation 5
Introducción a Foundation 5Introducción a Foundation 5
Introducción a Foundation 5Cycle-IT
 
Grupo 1 diagramas-consorcio-juridico
Grupo 1 diagramas-consorcio-juridicoGrupo 1 diagramas-consorcio-juridico
Grupo 1 diagramas-consorcio-juridicoCarlos Tapia
 
1.1 REQUERIMIENTOS DE PROCESO
1.1 REQUERIMIENTOS DE PROCESO1.1 REQUERIMIENTOS DE PROCESO
1.1 REQUERIMIENTOS DE PROCESOmataditoxd
 
Generación de Interfaces a partir de XML
Generación de Interfaces a partir de XMLGeneración de Interfaces a partir de XML
Generación de Interfaces a partir de XMLJose Benítez Andrades
 
Comparacion Entre Rmi Y Api De Sockets
Comparacion Entre Rmi Y Api De SocketsComparacion Entre Rmi Y Api De Sockets
Comparacion Entre Rmi Y Api De Socketsmallita
 
documento arquitectura
documento arquitecturadocumento arquitectura
documento arquitecturaMarco Alvarez Bustos
 
13 tipos de diagramas uml, la metodología de desarrollo ágil de software y la...
13 tipos de diagramas uml, la metodología de desarrollo ágil de software y la...13 tipos de diagramas uml, la metodología de desarrollo ágil de software y la...
13 tipos de diagramas uml, la metodología de desarrollo ágil de software y la...Uriel Herrera
 
PostgreSQL
PostgreSQLPostgreSQL
PostgreSQLbrobelo
 
Diagrama de despliegue
Diagrama de despliegueDiagrama de despliegue
Diagrama de despliegueElvisAR
 
1.2 arquitectura en 2 capas
1.2 arquitectura en 2 capas1.2 arquitectura en 2 capas
1.2 arquitectura en 2 capasEsbeyiz
 
Base de Datos: Modelo Entidad-Relacion
Base de Datos: Modelo Entidad-RelacionBase de Datos: Modelo Entidad-Relacion
Base de Datos: Modelo Entidad-RelacionDiego Torres
 
Programación por Capas en PHP
Programación por Capas en PHPProgramación por Capas en PHP
Programación por Capas en PHPRamiro Javier Chuquimia Ticona
 
Arquitectura del sistema
Arquitectura del sistemaArquitectura del sistema
Arquitectura del sistemapierre R.
 
Tema 3 proseso de desarrollo del software
Tema 3 proseso de desarrollo del softwareTema 3 proseso de desarrollo del software
Tema 3 proseso de desarrollo del softwareLuis Garcia
 
UML para dispositivos móviles - Milena Cabrera
UML para dispositivos móviles - Milena CabreraUML para dispositivos móviles - Milena Cabrera
UML para dispositivos móviles - Milena Cabrera2008PA2Info3
 
Importancia Diseño Orientado a Objetos
Importancia Diseño Orientado a ObjetosImportancia Diseño Orientado a Objetos
Importancia Diseño Orientado a ObjetosRonald Bello
 
Arraylist
ArraylistArraylist
ArraylistFernando Solis
 
Arquitectura en capas
Arquitectura en capasArquitectura en capas
Arquitectura en capasmiguelangelvillelli
 
Calidad de software
Calidad de softwareCalidad de software
Calidad de softwareTensor
 
Linux Basic commands and VI Editor
Linux Basic commands and VI EditorLinux Basic commands and VI Editor
Linux Basic commands and VI Editorshanmuga rajan
 
Modelos de análisis estructurado
Modelos de análisis estructuradoModelos de análisis estructurado
Modelos de análisis estructuradoYoandres La Cruz
 
Informe de especificacion de requisitos del sistema
Informe de especificacion de requisitos del sistemaInforme de especificacion de requisitos del sistema
Informe de especificacion de requisitos del sistemaOscar David Diaz Fortaleché
 
Arquitectura Multinivel
Arquitectura MultinivelArquitectura Multinivel
Arquitectura Multinivelurumisama
 
C4model - Arquitectura de Software
C4model - Arquitectura de SoftwareC4model - Arquitectura de Software
C4model - Arquitectura de SoftwareRene Guaman-Quinche
 
Programación Orientada a Aspectos (POA)
Programación Orientada a Aspectos (POA)Programación Orientada a Aspectos (POA)
Programación Orientada a Aspectos (POA)Walter Javier Franck
 
Curso Avanzado Seguridad Logs
Curso Avanzado Seguridad LogsCurso Avanzado Seguridad Logs
Curso Avanzado Seguridad LogsAntonio Durán
 

Más contenido relacionado

La actualidad más candente

Comparacion Entre Rmi Y Api De Sockets
Comparacion Entre Rmi Y Api De SocketsComparacion Entre Rmi Y Api De Sockets
Comparacion Entre Rmi Y Api De Socketsmallita
 
13 tipos de diagramas uml, la metodología de desarrollo ágil de software y la...
13 tipos de diagramas uml, la metodología de desarrollo ágil de software y la...13 tipos de diagramas uml, la metodología de desarrollo ágil de software y la...
13 tipos de diagramas uml, la metodología de desarrollo ágil de software y la...Uriel Herrera
 
PostgreSQL
PostgreSQLPostgreSQL
PostgreSQLbrobelo
 
Diagrama de despliegue
Diagrama de despliegueDiagrama de despliegue
Diagrama de despliegueElvisAR
 
1.2 arquitectura en 2 capas
1.2 arquitectura en 2 capas1.2 arquitectura en 2 capas
1.2 arquitectura en 2 capasEsbeyiz
 
Base de Datos: Modelo Entidad-Relacion
Base de Datos: Modelo Entidad-RelacionBase de Datos: Modelo Entidad-Relacion
Base de Datos: Modelo Entidad-RelacionDiego Torres
 
Arquitectura del sistema
Arquitectura del sistemaArquitectura del sistema
Arquitectura del sistemapierre R.
 
Tema 3 proseso de desarrollo del software
Tema 3 proseso de desarrollo del softwareTema 3 proseso de desarrollo del software
Tema 3 proseso de desarrollo del softwareLuis Garcia
 
UML para dispositivos móviles - Milena Cabrera
UML para dispositivos móviles - Milena CabreraUML para dispositivos móviles - Milena Cabrera
UML para dispositivos móviles - Milena Cabrera2008PA2Info3
 
Importancia Diseño Orientado a Objetos
Importancia Diseño Orientado a ObjetosImportancia Diseño Orientado a Objetos
Importancia Diseño Orientado a ObjetosRonald Bello
 
Calidad de software
Calidad de softwareCalidad de software
Calidad de softwareTensor
 
Linux Basic commands and VI Editor
Linux Basic commands and VI EditorLinux Basic commands and VI Editor
Linux Basic commands and VI Editorshanmuga rajan
 
Modelos de análisis estructurado
Modelos de análisis estructuradoModelos de análisis estructurado
Modelos de análisis estructuradoYoandres La Cruz
 
Informe de especificacion de requisitos del sistema
Informe de especificacion de requisitos del sistemaInforme de especificacion de requisitos del sistema
Informe de especificacion de requisitos del sistemaOscar David Diaz Fortaleché
 
Arquitectura Multinivel
Arquitectura MultinivelArquitectura Multinivel
Arquitectura Multinivelurumisama
 
C4model - Arquitectura de Software
C4model - Arquitectura de SoftwareC4model - Arquitectura de Software
C4model - Arquitectura de SoftwareRene Guaman-Quinche
 

La actualidad más candente (20)

Comparacion Entre Rmi Y Api De Sockets
Comparacion Entre Rmi Y Api De SocketsComparacion Entre Rmi Y Api De Sockets
Comparacion Entre Rmi Y Api De Sockets
 
documento arquitectura
documento arquitecturadocumento arquitectura
documento arquitectura
 
13 tipos de diagramas uml, la metodología de desarrollo ágil de software y la...
13 tipos de diagramas uml, la metodología de desarrollo ágil de software y la...13 tipos de diagramas uml, la metodología de desarrollo ágil de software y la...
13 tipos de diagramas uml, la metodología de desarrollo ágil de software y la...
 
PostgreSQL
PostgreSQLPostgreSQL
PostgreSQL
 
Diagrama de despliegue
Diagrama de despliegueDiagrama de despliegue
Diagrama de despliegue
 
1.2 arquitectura en 2 capas
1.2 arquitectura en 2 capas1.2 arquitectura en 2 capas
1.2 arquitectura en 2 capas
 
Base de Datos: Modelo Entidad-Relacion
Base de Datos: Modelo Entidad-RelacionBase de Datos: Modelo Entidad-Relacion
Base de Datos: Modelo Entidad-Relacion
 
Programación por Capas en PHP
Programación por Capas en PHPProgramación por Capas en PHP
Programación por Capas en PHP
 
Arquitectura del sistema
Arquitectura del sistemaArquitectura del sistema
Arquitectura del sistema
 
Tema 3 proseso de desarrollo del software
Tema 3 proseso de desarrollo del softwareTema 3 proseso de desarrollo del software
Tema 3 proseso de desarrollo del software
 
UML para dispositivos móviles - Milena Cabrera
UML para dispositivos móviles - Milena CabreraUML para dispositivos móviles - Milena Cabrera
UML para dispositivos móviles - Milena Cabrera
 
Importancia Diseño Orientado a Objetos
Importancia Diseño Orientado a ObjetosImportancia Diseño Orientado a Objetos
Importancia Diseño Orientado a Objetos
 
Arraylist
ArraylistArraylist
Arraylist
 
Arquitectura en capas
Arquitectura en capasArquitectura en capas
Arquitectura en capas
 
Calidad de software
Calidad de softwareCalidad de software
Calidad de software
 
Linux Basic commands and VI Editor
Linux Basic commands and VI EditorLinux Basic commands and VI Editor
Linux Basic commands and VI Editor
 
Modelos de análisis estructurado
Modelos de análisis estructuradoModelos de análisis estructurado
Modelos de análisis estructurado
 
Informe de especificacion de requisitos del sistema
Informe de especificacion de requisitos del sistemaInforme de especificacion de requisitos del sistema
Informe de especificacion de requisitos del sistema
 
Arquitectura Multinivel
Arquitectura MultinivelArquitectura Multinivel
Arquitectura Multinivel
 
C4model - Arquitectura de Software
C4model - Arquitectura de SoftwareC4model - Arquitectura de Software
C4model - Arquitectura de Software
 

Destacado

Programación Orientada a Aspectos (POA)
Programación Orientada a Aspectos (POA)Programación Orientada a Aspectos (POA)
Programación Orientada a Aspectos (POA)Walter Javier Franck
 
Curso Avanzado Seguridad Logs
Curso Avanzado Seguridad LogsCurso Avanzado Seguridad Logs
Curso Avanzado Seguridad LogsAntonio Durán
 
Swap
SwapSwap
Swap4Nd0
 
Preguntas Swap Andrade Granda
Preguntas Swap Andrade GrandaPreguntas Swap Andrade Granda
Preguntas Swap Andrade GrandaJonnathan Jimenez
 
Control de Aplicaciones - Hacking Corporativo - Auditoria Computacional
Control de Aplicaciones - Hacking Corporativo - Auditoria ComputacionalControl de Aplicaciones - Hacking Corporativo - Auditoria Computacional
Control de Aplicaciones - Hacking Corporativo - Auditoria ComputacionalJuan Astudillo
 
Auditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.pptAuditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.pptFredy EC
 
Clase 10. generalidades auditorias y norma iso 19011
Clase 10. generalidades auditorias y norma iso 19011Clase 10. generalidades auditorias y norma iso 19011
Clase 10. generalidades auditorias y norma iso 19011oscarreyesnova
 
Metodologia agil para el diseño de aplicaciones multimedias moviles
Metodologia agil para el diseño de aplicaciones multimedias movilesMetodologia agil para el diseño de aplicaciones multimedias moviles
Metodologia agil para el diseño de aplicaciones multimedias movilescristopherf
 

Destacado (13)

Programación Orientada a Aspectos (POA)
Programación Orientada a Aspectos (POA)Programación Orientada a Aspectos (POA)
Programación Orientada a Aspectos (POA)
 
Curso Avanzado Seguridad Logs
Curso Avanzado Seguridad LogsCurso Avanzado Seguridad Logs
Curso Avanzado Seguridad Logs
 
Swap
SwapSwap
Swap
 
Qué es la swap
Qué es la swapQué es la swap
Qué es la swap
 
Preguntas Swap Andrade Granda
Preguntas Swap Andrade GrandaPreguntas Swap Andrade Granda
Preguntas Swap Andrade Granda
 
Que es Swap
Que es SwapQue es Swap
Que es Swap
 
Control de Aplicaciones - Hacking Corporativo - Auditoria Computacional
Control de Aplicaciones - Hacking Corporativo - Auditoria ComputacionalControl de Aplicaciones - Hacking Corporativo - Auditoria Computacional
Control de Aplicaciones - Hacking Corporativo - Auditoria Computacional
 
Monitorización
MonitorizaciónMonitorización
Monitorización
 
Cc.bb evaluación
Cc.bb evaluaciónCc.bb evaluación
Cc.bb evaluación
 
¿Qué es swap?
¿Qué es swap?¿Qué es swap?
¿Qué es swap?
 
Auditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.pptAuditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.ppt
 
Clase 10. generalidades auditorias y norma iso 19011
Clase 10. generalidades auditorias y norma iso 19011Clase 10. generalidades auditorias y norma iso 19011
Clase 10. generalidades auditorias y norma iso 19011
 
Metodologia agil para el diseño de aplicaciones multimedias moviles
Metodologia agil para el diseño de aplicaciones multimedias movilesMetodologia agil para el diseño de aplicaciones multimedias moviles
Metodologia agil para el diseño de aplicaciones multimedias moviles
 

Similar a Logs y Auditoría - Herramientas clave

Monitorizacion
MonitorizacionMonitorizacion
MonitorizacionIrontec
 
Tutorial Rsyslog Debian Squeeze
Tutorial Rsyslog Debian SqueezeTutorial Rsyslog Debian Squeeze
Tutorial Rsyslog Debian Squeezecercer
 
Sysinternals Suite
Sysinternals SuiteSysinternals Suite
Sysinternals SuiteRosariio92
 
Seguridad en Tryton
Seguridad en TrytonSeguridad en Tryton
Seguridad en TrytonNaN-tic
 
Taller de seguridad para servidores GNU/Linux (GSICKMinds)
Taller de seguridad para servidores GNU/Linux (GSICKMinds)Taller de seguridad para servidores GNU/Linux (GSICKMinds)
Taller de seguridad para servidores GNU/Linux (GSICKMinds)cl0p3z
 
Administración y Comando Básicos
Administración y Comando BásicosAdministración y Comando Básicos
Administración y Comando BásicosAbrilRojasMedina
 
Planificador
PlanificadorPlanificador
Planificadorbluekn
 
Trabajo Claudia Correa Sistema Operativo
Trabajo Claudia Correa Sistema OperativoTrabajo Claudia Correa Sistema Operativo
Trabajo Claudia Correa Sistema OperativoCLAUPATY79
 

Similar a Logs y Auditoría - Herramientas clave (20)

Logs en Linux.pdf
Logs en Linux.pdfLogs en Linux.pdf
Logs en Linux.pdf
 
Monitorizacion
MonitorizacionMonitorizacion
Monitorizacion
 
Tutorial Rsyslog Debian Squeeze
Tutorial Rsyslog Debian SqueezeTutorial Rsyslog Debian Squeeze
Tutorial Rsyslog Debian Squeeze
 
Curso básico linux
Curso básico linuxCurso básico linux
Curso básico linux
 
Sysinternals Suite
Sysinternals SuiteSysinternals Suite
Sysinternals Suite
 
Paralela10
Paralela10Paralela10
Paralela10
 
Workshop Ubuntu GNU/Linux 3
Workshop Ubuntu GNU/Linux 3Workshop Ubuntu GNU/Linux 3
Workshop Ubuntu GNU/Linux 3
 
Mecanismos IPC system V en Linux
Mecanismos IPC system V en LinuxMecanismos IPC system V en Linux
Mecanismos IPC system V en Linux
 
Seguridad en Tryton
Seguridad en TrytonSeguridad en Tryton
Seguridad en Tryton
 
Taller de seguridad para servidores GNU/Linux (GSICKMinds)
Taller de seguridad para servidores GNU/Linux (GSICKMinds)Taller de seguridad para servidores GNU/Linux (GSICKMinds)
Taller de seguridad para servidores GNU/Linux (GSICKMinds)
 
Administración y Comando Básicos
Administración y Comando BásicosAdministración y Comando Básicos
Administración y Comando Básicos
 
Presentacion
PresentacionPresentacion
Presentacion
 
Formato a bajo nivel
Formato a bajo nivelFormato a bajo nivel
Formato a bajo nivel
 
Formato a bajo nivel
Formato a bajo nivelFormato a bajo nivel
Formato a bajo nivel
 
Tripwire 2006
Tripwire 2006Tripwire 2006
Tripwire 2006
 
Planificador
PlanificadorPlanificador
Planificador
 
Estructura de los Sistemas Operativos
Estructura de los Sistemas OperativosEstructura de los Sistemas Operativos
Estructura de los Sistemas Operativos
 
Snort 2006
Snort 2006Snort 2006
Snort 2006
 
Trabajo Claudia Correa Sistema Operativo
Trabajo Claudia Correa Sistema OperativoTrabajo Claudia Correa Sistema Operativo
Trabajo Claudia Correa Sistema Operativo
 
Descripcion Net-SNMP
Descripcion Net-SNMP Descripcion Net-SNMP
Descripcion Net-SNMP
 

Logs y Auditoría - Herramientas clave

  • 2. Logs y Auditoría • ● Contenido: • – Introducción • – Archivos • – Utilidades • ● Lastlog • ● Last • – Barredores • – Syslog • – Logrotate • – Otras herramientas
  • 3. Logs y Auditoría - Introducción ¿Qué es logging? • Cualquier procedimiento por el que un sistema operativo o aplicación graba eventos mientras ocurren y los guarda para un examen posterior. • Es un componente esencial de cualquier sistema operativo, al cual se le debe prestar mucha atención. • En cuanto a seguridad nos permite mantener un registro de las acciones dañinas de un atacante. Son la evidencia de que “nos han atacado”
  • 4. Logs y Auditoría - Archivos ● Toda la estructura de archivos de log se encuentra en el directorio: /var/log/ ● Este directorio contiene multitud de archivos que corresponden a distintos servicios que se ejecutan en nuestra máquina y posteriormente imprimen su actividad en el fichero de log correspondiente o incluso en ficheros de log compartidos ● Se pueden ver estos fichero con el típico comando “tail -f /var/log/nombrefichero”
  • 5. Logs y Auditoría – Utilidades ● Puede resultar muy engorroso examinar los archivos de logs directamente y mucho más dificil de detectar anomalías, errores o situaciones extrañas en nuestro sistema, para eso en el sistema existen utilidades que nos presentan esta información de forma más comoda y legible: ● lastlog ● last
  • 6. Logs y Auditoría - lastlog Se encarga de imprimir información relativa a los logins de los usuarios de forma que muestra todos los usuarios contenidos en “/etc/passwd” y su último login si ha iniciado sesion alguna vez y si no un mensaje “**Never Logged in**”. Esta utilidad lee la información del fichero “/var/log/lastlog”: Username Port From Latest root tty1 Thu Jul 1 12:12:12 2003 user1 ttyp0 172.16.0.1 Thu Jul 1 12:15:00 2003 user2 **Never Logged in**
  • 7. Logs y Auditoría - last Informa del último login de usuarios, pero esta vez mostrando información sólo de los usuarios que han hecho “log in”, dando así información como: usuarios, terminal usado, IP, fecha y hora y duración de sus sesiones. Esta utilidad lee la información del fichero “/var/log/wtmp”: root tty1 Thu Jul 1 12:12 Still logged in user1 ttyp0 172.16.0.1 Thu Jul 1 12:15 – 12:20 (05:00)
  • 8. Logs y Auditoría - Barredores A pesar de la existencia de logs del sistema que nos permiten registrar intentos de ataques y sus autores, esto no es infalible y así un buen atacante puede eliminar las pistas de su ataque mediante la utilización de programas llamados barredores o limpiadores. Estos programas básicamente se encargan de borrar las entradas de los ficheros de logs correspondientes, de forma que no queden indicios de su entrada.
  • 9. Logs y Auditoría - Barredores Algunos de estos programas son: – Cloak2 (shadowing) – Utclean (elimina entradas) – SYSLOG Fogger (entradas falsas) – Marry (editor) ● Existen formas de evitar que los atacantes borren sus rastros del todo: – Copias de seguridad de logs en otras máquinas. – Herramientas de logging de terceros.
  • 10. Logs y Auditoría – Mensajes Kernel y Sistema Existen dos demonios que se encargan de manejar los mensajes del kernel y del sistema, estos son: – syslogd: Guarda los logs del sistema y de muchos servicios. Guarda el nombre del programa, el tipo de servicio, la prioridad y el mensaje del propio programa. – klogd:Guarda los logs propios del kernel para su posterior análisis en caso de error, por ejemplo. ● Ambos escriben sus mensajes en “/var/log/messages”
  • 11. Logs y Auditoría – Syslog.conf ● El syslogd nos permite personalizar los loggings del sistema mediante el fichero de configuración “/etc/syslog.conf”. Aquí se define todo sobre lo que se quiere hacer log, para esto se definen normas con dos campos: – Selector = A qué hacer log. – Action = Dónde hacer log.
  • 12. Logs y Auditoría – Syslog.conf Campo Selector: – Consta de dos partes: type (facility) y priority. ● Type: – auth ● Priority: – authpriv – alert – cron – crit – daemon – debug – kern – emerg – lpr – err – mail – info – notice – news – warning – uucp
  • 13. Logs y Auditoría – Syslog.conf Campo Action: – Especifica a donde deben ir los mensajes, normalmente es un fichero, aunque otras opciones muy interesantes son: ● Consola ● Máquina remota ● Usuarios concretos ● Todos los usuarios
  • 14. Logs y Auditoría – Syslog.conf Ejemplo de syslog.conf: #kernel kern.* /dev/console # The authpriv file goes to a remote host. authpriv.* @otramaquina # Log all the mail messages in one place. mail.* /var/log/maillog # Log cron stuff cron.* /var/log/cron # Everybody gets emergency messages *.emerg * # Save news errors of level crit and higher in a special file. uucp,news.crit /var/log/spooler
  • 15. Logs y Auditoría – logrotate Cuando tenemos un gran sistema linux con muchos usuarios, máquinas, etc, los logs pueden llegar a ser ficheros muy grandes. Para solucionar esto se usa logrotate que nos permitirá realizar copias de seguridad de los logs o rotarlos. También permite comprimir y enviar logs. ● Para realizar esto se usa el cron, al cual se le indicará si queremos hacer esto diariamente, semanalmente, etc.
  • 16. Logs y Auditoría – logrotate Algunas opciones interesantes de logrotate: – Compress – Daily – Endscript – Mail [dirección de correo] – Monthly – Nocompress – Rotate [n] – Size – weekly
  • 17. Logs y Auditoría – logrotate Ejemplo: errors pepe@mail.com compress /var/log/messages { rotate 5 weekly postrotate endscript }
  • 18. Logs y Auditoría – Otras herramientas LogWatch – Analiza los logs durante un periodo de tiempo especificado por el usuario y genera informes personalizables y de fácil lectura para el administrador. ● Secure Syslog – Herramienta de logging de sistema criptográficamente segura, que permite la auditoría remota de los logs. Así un si un intruso entra con privilegios de root sigue siendo posible auditar el sistema.