Linux: Loguri (#23)

Bine ați revenit, dragii mei greenhorn hackers!

Când utilizăm și administrăm Linuxul, este important să fim familiarizați cu utilizarea fișierelor log. După cum știm, fișierele log reprezintă depozitul pentru multe informații despre sistemul nostru, inclusiv erorile și alertele de securitate.

Dacă încercăm să securizăm Linuxul, este esențial să știm cum să gestionăm funcțiile de logare pentru a putea ști dacă sistemul nostru a fost atacat și pentru a descifra apoi ce s-a întâmplat și cine a făcut asta. Dacă sunteți atacatorul, este esențial să înțelegeți ce informații pot fi adunate despre voi și despre metodele voastre din aceleași fișiere log, astfel încât să puteți evita lăsarea oricărei urme.

În general, Linux folosește un daemon (un program care rulează pe fundal) numit syslogd, care este un sistem unificat pentru logarea evenimentelor de pe computer. Există mai multe variante de syslog, inclusiv rsyslog și syslog-ng. Deși funcționează foarte asemănător, ele au unele diferențe minore. Deoarece Kali Linux este construit pe Debian, el vine cu rsyslog implicit, așa că pe acesta-l vom folosi în acest tutorial.


Pasul 1: Deschidem un Terminal în Kali

Să începem prin deschiderea unui terminal. Pentru a găsi rsyslog-ul nostru, putem pur și simplu să tastăm:

kali > locate rsyslog

Pasul 2: Deschidem fișierul de configurare rsylog.conf

Ca aproape orice aplicație din Linux, rsyslog este gestionat și configurat de un fișier de configurare. Sper că ați învățat din tutorialele anterioare Linux, că fișierele de configurare sunt localizate în directorul /etc. În cazul rsyslog, acesta este localizat în /etc/rsyslog.conf. Să deschidem acel fișier cu orice editor de text (eu voi folosi Leafpad).

kali > leafpad /etc/rsyslog.conf


După cum puteți vedea mai sus, fișierul rsyslog.conf vine bine documentat cu numeroase comentarii care explică utilizarea acestuia.

Pasul 3: Formatul fișierului de configurare rsyslog

Să mergem puțin până la linia 50. Aici începe secțiunea “Reguli”. Aici putem seta regulile pentru logurile Linux.



Formatul de bază pentru aceste reguli este:

facility.priority action

Cuvântul facility se referă la program (cum ar fi mailul, kernelul, lpr etc.) care generează mesajul ce urmează să fie înregistrat. Cuvântul cheie prioritar se referă la importanța mesajului din log. În cele din urmă, cuvântul cheie action se referă la locația în care va fi trimis logul. Aceasta poate fi un fișier, un computer la distanță, etc.

Facilities

Codurile valide care trebuie introduse în regulile fișierului de configurare includ:

  • auth
  • authpriv
  • daemon
  • kern
  • lpr
  • mail
  • mark
  • news
  • security
  • syslog
  • user
  • uucp

Un asterisc (*) se referă la toate facilitățile. Puteți selecta mai multe facilități prin listarea acestora, separate prin virgulă.

Priorities

Codurile valide pentru prioritate sunt:

  • debug
  • info
  • notice
  • warning
  • warn
  • error
  • err
  • crit
  • alert
  • emerg
  • panic

Codurile de prioritate sunt listate de la cea mai mică prioritate (debug) la cea mai mare (emergpanic). Avertizarea este aceeași cu cea a unei erori. De exemplu, dacă specificăm un cod prioritar de alertă, sistemul va înregistra mesaje care sunt clasificate ca alerte.

Actions

Acțiunea este de obicei un nume de fișier cu locația sa. De exemplu, /var/log/messages.

Pasul 4: Exemple – Facility. Priority. Actions

Să ne uităm la câteva exemple.


mail.* /var/log/mail

Acest exemplu va nota evenimentele de mail ale tuturor priorităților (*) în /var/log/mail.

kern.crit /var/log/kernel

Acest exemplu va nota evenimente kernel (kern) de prioritate critică (crit) sau mai mare în var/log/kernel.

*.emerg *

Acest exemplu va nota toate evenimentele (*) priorității de urgență (emerg) la toți utilizatorii conectați.

Pasul 5: Logrotate

Dacă nu ștergem fișierele log, acestea vor umple în cele din urmă întregul hard disk. Pe de altă parte, dacă ștergem fișierele log prea des, nu le vom avea la îndemână pentru o investigație la un moment dat în viitor. Putem folosi logrotate pentru a determina echilibrul dintre aceste cerințe opuse.

Putem roti fișierele noastre log realizând un cron job care ne rotește periodic fișierele log prin utilitatea logrotate. Logrotate este configurat cu /etc/logrotate.conf. Să-l deschidem cu un editor de text și să aruncăm o privire prin el.

În majoritatea cazurilor, configurația implicită va funcționa pentru cei mai mulți oameni, însă observăm linia 6 că setarea implicită este de a roti logurile la fiecare 4 săptămâni. Dacă dorim să păstrăm logurile pentru o perioadă mai lungă sau mai scurtă, aceasta este setarea pe care ar trebui să o schimbăm.

Continuați să reveniți pe Blackweb, dragii mei greenhorn hackers, pentru mai multe tutoriale despre hacking și despre elementele de bază ale Linux-ului, ce ar fi bine să le cunoașteți, în drumul vostru de a deveni niște hackeri talentați.

Până data viitoare, să ne citim cu bine! 🙂

 



0 0 vote
Article Rating
Subscribe
Notify of
guest
0 Comments
Inline Feedbacks
View all comments