Subido porProfesoraBrendaBarragan
PPTX, PDF5,427 vistas

Logs y auditoría

Este documento describe las herramientas y procesos de registro y auditoría en sistemas Linux. Los registros se almacenan en el directorio /var/log y se pueden examinar con utilidades como lastlog y last. Syslogd y klogd manejan los mensajes del kernel y el sistema en /var/log/messages. logrotate gestiona el tamaño de los archivos de registro rotándolos y comprimiéndolos.

Incrustar presentación

Descargado 51 veces
Logs y Auditoría
Logs y Auditoría • ● Contenido: • – Introducción • – Archivos • – Utilidades • ● Lastlog • ● Last • – Barredores • – Syslog • – Logrotate • – Otras herramientas
Logs y Auditoría - Introducción ¿Qué es logging? • Cualquier procedimiento por el que un sistema operativo o aplicación graba eventos mientras ocurren y los guarda para un examen posterior. • Es un componente esencial de cualquier sistema operativo, al cual se le debe prestar mucha atención. • En cuanto a seguridad nos permite mantener un registro de las acciones dañinas de un atacante. Son la evidencia de que “nos han atacado”
Logs y Auditoría - Archivos ● Toda la estructura de archivos de log se encuentra en el directorio: /var/log/ ● Este directorio contiene multitud de archivos que corresponden a distintos servicios que se ejecutan en nuestra máquina y posteriormente imprimen su actividad en el fichero de log correspondiente o incluso en ficheros de log compartidos ● Se pueden ver estos fichero con el típico comando “tail -f /var/log/nombrefichero”
Logs y Auditoría – Utilidades ● Puede resultar muy engorroso examinar los archivos de logs directamente y mucho más dificil de detectar anomalías, errores o situaciones extrañas en nuestro sistema, para eso en el sistema existen utilidades que nos presentan esta información de forma más comoda y legible: ● lastlog ● last
Logs y Auditoría - lastlog Se encarga de imprimir información relativa a los logins de los usuarios de forma que muestra todos los usuarios contenidos en “/etc/passwd” y su último login si ha iniciado sesion alguna vez y si no un mensaje “**Never Logged in**”. Esta utilidad lee la información del fichero “/var/log/lastlog”: Username Port From Latest root tty1 Thu Jul 1 12:12:12 2003 user1 ttyp0 172.16.0.1 Thu Jul 1 12:15:00 2003 user2 **Never Logged in**
Logs y Auditoría - last Informa del último login de usuarios, pero esta vez mostrando información sólo de los usuarios que han hecho “log in”, dando así información como: usuarios, terminal usado, IP, fecha y hora y duración de sus sesiones. Esta utilidad lee la información del fichero “/var/log/wtmp”: root tty1 Thu Jul 1 12:12 Still logged in user1 ttyp0 172.16.0.1 Thu Jul 1 12:15 – 12:20 (05:00)
Logs y Auditoría - Barredores A pesar de la existencia de logs del sistema que nos permiten registrar intentos de ataques y sus autores, esto no es infalible y así un buen atacante puede eliminar las pistas de su ataque mediante la utilización de programas llamados barredores o limpiadores. Estos programas básicamente se encargan de borrar las entradas de los ficheros de logs correspondientes, de forma que no queden indicios de su entrada.
Logs y Auditoría - Barredores Algunos de estos programas son: – Cloak2 (shadowing) – Utclean (elimina entradas) – SYSLOG Fogger (entradas falsas) – Marry (editor) ● Existen formas de evitar que los atacantes borren sus rastros del todo: – Copias de seguridad de logs en otras máquinas. – Herramientas de logging de terceros.
Logs y Auditoría – Mensajes Kernel y Sistema Existen dos demonios que se encargan de manejar los mensajes del kernel y del sistema, estos son: – syslogd: Guarda los logs del sistema y de muchos servicios. Guarda el nombre del programa, el tipo de servicio, la prioridad y el mensaje del propio programa. – klogd:Guarda los logs propios del kernel para su posterior análisis en caso de error, por ejemplo. ● Ambos escriben sus mensajes en “/var/log/messages”
Logs y Auditoría – Syslog.conf ● El syslogd nos permite personalizar los loggings del sistema mediante el fichero de configuración “/etc/syslog.conf”. Aquí se define todo sobre lo que se quiere hacer log, para esto se definen normas con dos campos: – Selector = A qué hacer log. – Action = Dónde hacer log.
Logs y Auditoría – Syslog.conf Campo Selector: – Consta de dos partes: type (facility) y priority. ● Type: – auth ● Priority: – authpriv – alert – cron – crit – daemon – debug – kern – emerg – lpr – err – mail – info – notice – news – warning – uucp
Logs y Auditoría – Syslog.conf Campo Action: – Especifica a donde deben ir los mensajes, normalmente es un fichero, aunque otras opciones muy interesantes son: ● Consola ● Máquina remota ● Usuarios concretos ● Todos los usuarios
Logs y Auditoría – Syslog.conf Ejemplo de syslog.conf: #kernel kern.* /dev/console # The authpriv file goes to a remote host. authpriv.* @otramaquina # Log all the mail messages in one place. mail.* /var/log/maillog # Log cron stuff cron.* /var/log/cron # Everybody gets emergency messages *.emerg * # Save news errors of level crit and higher in a special file. uucp,news.crit /var/log/spooler
Logs y Auditoría – logrotate Cuando tenemos un gran sistema linux con muchos usuarios, máquinas, etc, los logs pueden llegar a ser ficheros muy grandes. Para solucionar esto se usa logrotate que nos permitirá realizar copias de seguridad de los logs o rotarlos. También permite comprimir y enviar logs. ● Para realizar esto se usa el cron, al cual se le indicará si queremos hacer esto diariamente, semanalmente, etc.
Logs y Auditoría – logrotate Algunas opciones interesantes de logrotate: – Compress – Daily – Endscript – Mail [dirección de correo] – Monthly – Nocompress – Rotate [n] – Size – weekly
Logs y Auditoría – logrotate Ejemplo: errors pepe@mail.com compress /var/log/messages { rotate 5 weekly postrotate endscript }
Logs y Auditoría – Otras herramientas LogWatch – Analiza los logs durante un periodo de tiempo especificado por el usuario y genera informes personalizables y de fácil lectura para el administrador. ● Secure Syslog – Herramienta de logging de sistema criptográficamente segura, que permite la auditoría remota de los logs. Así un si un intruso entra con privilegios de root sigue siendo posible auditar el sistema.

Más contenido relacionado

PPTX
Presentación de logs
porMatías Leal
 
PPSX
Curso básico linux
porMiguel Esquivel
 
PDF
Gestión de procesos
porFreddy Patricio Ajila Zaquinaula
 
PPTX
Manejo de los procesos en los sistemas operativos
porCarolina Cols
 
PDF
Historia y evolución de los sistemas operativos
porPablo Macon
 
PDF
Tipología de los Sistemas Operativos
porPablo Macon
 
ODP
Curso Avanzado Seguridad Logs
porAntonio Durán
 
PPTX
Planificación de la cpu
porjoss1991
 
Presentación de logs
porMatías Leal
 
Curso básico linux
porMiguel Esquivel
 
Gestión de procesos
porFreddy Patricio Ajila Zaquinaula
 
Manejo de los procesos en los sistemas operativos
porCarolina Cols
 
Historia y evolución de los sistemas operativos
porPablo Macon
 
Tipología de los Sistemas Operativos
porPablo Macon
 
Curso Avanzado Seguridad Logs
porAntonio Durán
 
Planificación de la cpu
porjoss1991
 

La actualidad más candente

PDF
Gnu linux programacion-de-sistemas
porDiego Caceres
 
PPTX
Kernel y shell tipos
porPablo Macon
 
PDF
Unidad 11 - Administración básica del sistema
porvverdu
 
PDF
9 managing processes
porcyberleon95
 
PDF
Procesos linux
porboutakioutyoussef
 
PPT
3 2 Administracion Y Configuracion De Dispositivos
porUVM
 
PPTX
Sistemas operativos unidad_ii
porLeo Garcia
 
PPT
3 1 Estructura Sistema Operativo
porUVM
 
PPT
Thread
porDavid Lilue
 
PPT
Sistemas de Entada y Salida gestionado por el Sistema Operativo "SOLARIS"
porFlor Cuenca
 
PDF
FHS - Jerarquia de Directorios Linux
porPablo Macon
 
PDF
Comandos cmd fase beta v 0.01
porDavid Hurtado
 
PPTX
Cuestionario de Software
porGTA_IVO
 
DOCX
Actividad no 1
porMauricio Orjuela
 
PDF
35 automated tasks
porAprende Viendo
 
PPTX
Sistemas Operativos
porLidia
 
PPT
3 3 Recursos Compartidos
porUVM
 
PDF
09 adm bases de datos abd5501 (03 unidad 2 oracle)
porLa_Conchito
 
PDF
Programaciongnulinux
porOscar Gustavo Medina Luna Victoria
 
PPTX
Unidad 2 sistemas operativos 2011
porAbimael hernandez
 
Gnu linux programacion-de-sistemas
porDiego Caceres
 
Kernel y shell tipos
porPablo Macon
 
Unidad 11 - Administración básica del sistema
porvverdu
 
9 managing processes
porcyberleon95
 
Procesos linux
porboutakioutyoussef
 
3 2 Administracion Y Configuracion De Dispositivos
porUVM
 
Sistemas operativos unidad_ii
porLeo Garcia
 
3 1 Estructura Sistema Operativo
porUVM
 
Thread
porDavid Lilue
 
Sistemas de Entada y Salida gestionado por el Sistema Operativo "SOLARIS"
porFlor Cuenca
 
FHS - Jerarquia de Directorios Linux
porPablo Macon
 
Comandos cmd fase beta v 0.01
porDavid Hurtado
 
Cuestionario de Software
porGTA_IVO
 
Actividad no 1
porMauricio Orjuela
 
35 automated tasks
porAprende Viendo
 
Sistemas Operativos
porLidia
 
3 3 Recursos Compartidos
porUVM
 
09 adm bases de datos abd5501 (03 unidad 2 oracle)
porLa_Conchito
 
Programaciongnulinux
porOscar Gustavo Medina Luna Victoria
 
Unidad 2 sistemas operativos 2011
porAbimael hernandez
 

Destacado

ODP
Curso Avanzado Seguridad Logs
porAntonio Durán
 
PPSX
Auditoria, seguridad y control de sistemas.ppt
porFredy EC
 
PPT
Cc.bb evaluación
porPilar Torres
 
PPT
Clase 10. generalidades auditorias y norma iso 19011
poroscarreyesnova
 
PDF
¿Qué es swap?
porQuike Peralta
 
PDF
Programación Orientada a Aspectos (POA)
porWalter Javier Franck
 
PDF
Metodologia agil para el diseño de aplicaciones multimedias moviles
porcristopherf
 
DOCX
Qué es la swap
porleobijildopanci
 
PDF
Monitorización
porMiguel Angel Nieto
 
PDF
Swap
por4Nd0
 
PDF
Que es Swap
porguesta1a54c
 
PDF
Preguntas Swap Andrade Granda
porJonnathan Jimenez
 
PPTX
Control de Aplicaciones - Hacking Corporativo - Auditoria Computacional
porJuan Astudillo
 
Curso Avanzado Seguridad Logs
porAntonio Durán
 
Auditoria, seguridad y control de sistemas.ppt
porFredy EC
 
Cc.bb evaluación
porPilar Torres
 
Clase 10. generalidades auditorias y norma iso 19011
poroscarreyesnova
 
¿Qué es swap?
porQuike Peralta
 
Programación Orientada a Aspectos (POA)
porWalter Javier Franck
 
Metodologia agil para el diseño de aplicaciones multimedias moviles
porcristopherf
 
Qué es la swap
porleobijildopanci
 
Monitorización
porMiguel Angel Nieto
 
Swap
por4Nd0
 
Que es Swap
porguesta1a54c
 
Preguntas Swap Andrade Granda
porJonnathan Jimenez
 
Control de Aplicaciones - Hacking Corporativo - Auditoria Computacional
porJuan Astudillo
 

Similar a Logs y auditoría

PDF
Logs en Linux.pdf
porMarceloLopez381236
 
PDF
Protocolo syslog
porUTP
 
PDF
Un caso Forense: Analizando un servidor Linux
porEventos Creativos
 
PDF
Informe linux
porbrusskidtatenciaarbi
 
PDF
Gestion de usuarios y grupos ubuntu
porJose Diaz Silva
 
DOCX
Mantenimiento de una computadora linux
porVanessa Estefania Corredor Andrade
 
PPT
Linux Para Asterisk
porGabriel Astudillo
 
PDF
Linux ud5 - gestion de usuarios
porJavier Muñoz
 
PPTX
Comandos basicos
poriran_isma10
 
PDF
Tutorial Rsyslog Debian Squeeze
porcercer
 
ODP
Archivos Por Lotes Arch Log
porguesta5bdb8e
 
ODP
Archivos Por Lotes Arch Log
porIes Consuelo Aranda
 
PDF
35 archivos de registro
porjosemanuelacostarendon
 
PDF
36 archivos de registro
porAprende Viendo
 
PDF
Seguridad
porjose manuel Rodriguez
 
PDF
Seguridad es
porseca2600
 
PPT
Comandos basicos
porpilimex
 
PPTX
Equipo 7:Comandos basicos y aplicaciones en linux
poriran_isma10
 
PPTX
Cli unix2
porayreonmx
 
PPTX
Cli unix2
porayreonmx
 
Logs en Linux.pdf
porMarceloLopez381236
 
Protocolo syslog
porUTP
 
Un caso Forense: Analizando un servidor Linux
porEventos Creativos
 
Informe linux
porbrusskidtatenciaarbi
 
Gestion de usuarios y grupos ubuntu
porJose Diaz Silva
 
Mantenimiento de una computadora linux
porVanessa Estefania Corredor Andrade
 
Linux Para Asterisk
porGabriel Astudillo
 
Linux ud5 - gestion de usuarios
porJavier Muñoz
 
Comandos basicos
poriran_isma10
 
Tutorial Rsyslog Debian Squeeze
porcercer
 
Archivos Por Lotes Arch Log
porguesta5bdb8e
 
Archivos Por Lotes Arch Log
porIes Consuelo Aranda
 
35 archivos de registro
porjosemanuelacostarendon
 
36 archivos de registro
porAprende Viendo
 
Seguridad
porjose manuel Rodriguez
 
Seguridad es
porseca2600
 
Comandos basicos
porpilimex
 
Equipo 7:Comandos basicos y aplicaciones en linux
poriran_isma10
 
Cli unix2
porayreonmx
 
Cli unix2
porayreonmx
 

Logs y auditoría

  • 1.
  • 2.
    Logs y Auditoría • ● Contenido: • – Introducción • – Archivos • – Utilidades • ● Lastlog • ● Last • – Barredores • – Syslog • – Logrotate • – Otras herramientas
  • 3.
    Logs y Auditoría- Introducción ¿Qué es logging? • Cualquier procedimiento por el que un sistema operativo o aplicación graba eventos mientras ocurren y los guarda para un examen posterior. • Es un componente esencial de cualquier sistema operativo, al cual se le debe prestar mucha atención. • En cuanto a seguridad nos permite mantener un registro de las acciones dañinas de un atacante. Son la evidencia de que “nos han atacado”
  • 4.
    Logs y Auditoría- Archivos ● Toda la estructura de archivos de log se encuentra en el directorio: /var/log/ ● Este directorio contiene multitud de archivos que corresponden a distintos servicios que se ejecutan en nuestra máquina y posteriormente imprimen su actividad en el fichero de log correspondiente o incluso en ficheros de log compartidos ● Se pueden ver estos fichero con el típico comando “tail -f /var/log/nombrefichero”
  • 5.
    Logs y Auditoría– Utilidades ● Puede resultar muy engorroso examinar los archivos de logs directamente y mucho más dificil de detectar anomalías, errores o situaciones extrañas en nuestro sistema, para eso en el sistema existen utilidades que nos presentan esta información de forma más comoda y legible: ● lastlog ● last
  • 6.
    Logs y Auditoría- lastlog Se encarga de imprimir información relativa a los logins de los usuarios de forma que muestra todos los usuarios contenidos en “/etc/passwd” y su último login si ha iniciado sesion alguna vez y si no un mensaje “**Never Logged in**”. Esta utilidad lee la información del fichero “/var/log/lastlog”: Username Port From Latest root tty1 Thu Jul 1 12:12:12 2003 user1 ttyp0 172.16.0.1 Thu Jul 1 12:15:00 2003 user2 **Never Logged in**
  • 7.
    Logs y Auditoría- last Informa del último login de usuarios, pero esta vez mostrando información sólo de los usuarios que han hecho “log in”, dando así información como: usuarios, terminal usado, IP, fecha y hora y duración de sus sesiones. Esta utilidad lee la información del fichero “/var/log/wtmp”: root tty1 Thu Jul 1 12:12 Still logged in user1 ttyp0 172.16.0.1 Thu Jul 1 12:15 – 12:20 (05:00)
  • 8.
    Logs y Auditoría- Barredores A pesar de la existencia de logs del sistema que nos permiten registrar intentos de ataques y sus autores, esto no es infalible y así un buen atacante puede eliminar las pistas de su ataque mediante la utilización de programas llamados barredores o limpiadores. Estos programas básicamente se encargan de borrar las entradas de los ficheros de logs correspondientes, de forma que no queden indicios de su entrada.
  • 9.
    Logs y Auditoría- Barredores Algunos de estos programas son: – Cloak2 (shadowing) – Utclean (elimina entradas) – SYSLOG Fogger (entradas falsas) – Marry (editor) ● Existen formas de evitar que los atacantes borren sus rastros del todo: – Copias de seguridad de logs en otras máquinas. – Herramientas de logging de terceros.
  • 10.
    Logs y Auditoría– Mensajes Kernel y Sistema Existen dos demonios que se encargan de manejar los mensajes del kernel y del sistema, estos son: – syslogd: Guarda los logs del sistema y de muchos servicios. Guarda el nombre del programa, el tipo de servicio, la prioridad y el mensaje del propio programa. – klogd:Guarda los logs propios del kernel para su posterior análisis en caso de error, por ejemplo. ● Ambos escriben sus mensajes en “/var/log/messages”
  • 11.
    Logs y Auditoría– Syslog.conf ● El syslogd nos permite personalizar los loggings del sistema mediante el fichero de configuración “/etc/syslog.conf”. Aquí se define todo sobre lo que se quiere hacer log, para esto se definen normas con dos campos: – Selector = A qué hacer log. – Action = Dónde hacer log.
  • 12.
    Logs y Auditoría– Syslog.conf Campo Selector: – Consta de dos partes: type (facility) y priority. ● Type: – auth ● Priority: – authpriv – alert – cron – crit – daemon – debug – kern – emerg – lpr – err – mail – info – notice – news – warning – uucp
  • 13.
    Logs y Auditoría– Syslog.conf Campo Action: – Especifica a donde deben ir los mensajes, normalmente es un fichero, aunque otras opciones muy interesantes son: ● Consola ● Máquina remota ● Usuarios concretos ● Todos los usuarios
  • 14.
    Logs y Auditoría– Syslog.conf Ejemplo de syslog.conf: #kernel kern.* /dev/console # The authpriv file goes to a remote host. authpriv.* @otramaquina # Log all the mail messages in one place. mail.* /var/log/maillog # Log cron stuff cron.* /var/log/cron # Everybody gets emergency messages *.emerg * # Save news errors of level crit and higher in a special file. uucp,news.crit /var/log/spooler
  • 15.
    Logs y Auditoría– logrotate Cuando tenemos un gran sistema linux con muchos usuarios, máquinas, etc, los logs pueden llegar a ser ficheros muy grandes. Para solucionar esto se usa logrotate que nos permitirá realizar copias de seguridad de los logs o rotarlos. También permite comprimir y enviar logs. ● Para realizar esto se usa el cron, al cual se le indicará si queremos hacer esto diariamente, semanalmente, etc.
  • 16.
    Logs y Auditoría– logrotate Algunas opciones interesantes de logrotate: – Compress – Daily – Endscript – Mail [dirección de correo] – Monthly – Nocompress – Rotate [n] – Size – weekly
  • 17.
    Logs y Auditoría– logrotate Ejemplo: errors pepe@mail.com compress /var/log/messages { rotate 5 weekly postrotate endscript }
  • 18.
    Logs y Auditoría– Otras herramientas LogWatch – Analiza los logs durante un periodo de tiempo especificado por el usuario y genera informes personalizables y de fácil lectura para el administrador. ● Secure Syslog – Herramienta de logging de sistema criptográficamente segura, que permite la auditoría remota de los logs. Así un si un intruso entra con privilegios de root sigue siendo posible auditar el sistema.