25/6/09

Introduccion a los logs de Linux

Algunas entradas de este blog he mencionado la posibilidad de analizar los log del sistema operativo para tener un indicio de lo que puede estar fallando, asi que como no trate el tema vamos a ver una breve introducción a ellos....

Los más importantes son:
/var/log/kern.log: Mensajes del núcleo
/var/log/syslog: Registro de mensajes relativos a la seguridad del sistema
/var/log/dmesg log con mensajes del sistema
/var/log/debug: Información de depuración de los programas
/var/log/messages: Información general que nos proporciona el sistema
/var/log/user.log: Información de usuario
/var/log/fsck/ log de los chequeos de disco
/var/log/auth.log: Conexiones al sistema (incluidos los intentos fallidos)
/var/log/Xorg.0.log: Información sobre el entorno gráfico
/var/log/debian-instaler: log de la instalación de Debian
/var/log/apt/term.log log de APT
Si tenemos instalado algún servidor:
/var/log/samba/ log de SAMBA
/var/log/cups/ logs del servidor de impresion
/var/log/mail.log logs del sistema de correo (por ejemplo postfix)
Para mantener seguro nuestro pc, debemos conocer muy bien los logs del sistema, saber interpretarlos e incluso protegerlos.

Para ver logs, podemos usar cualquier procesador de textos o incluso comandos como cat, less, more o zcat (si es que estan con algun tipo de compresion). Ésto puede convertirse en problema ya que si no hemos cambiado los permisos por defecto a estos archivos, cualquier usuario que se conecte a nuestra máquina tendrá acceso a ellos y por lo tanto conseguirá información sensible del sistema.

¿De que manera un usuario puede aprovechar los logs para realizar un ataque?
Por ejemplo, el archivo /var/log/auth.log contiene los usuarios que han accedido al sistema y las conexiones fallidas, por lo tanto, si un usuario se equivoca y en vez de introducir el usuario para la conexión, introduce la contraseña por ejemplo "password" esto queda almacenado en el archivo como que el usuario "password" no pudo iniciar sesión. El usuario (por ejemplo "fulanito") al no poder acceder al sistema volverá a intentarlo, esta vez con éxito, y ahora la siguiente línea del archivo mostrará que el usuario "Fulanito" inició sesión con éxito.
Con éste descuido del usuario y con la falta de protección ofrecida por el administrador, nos hemos hecho con la cuenta de "Fulanito" con pass "password", con la que podremos lanzar ataques al sistema sin dejar rastro de nuestra presencia.
Publicadas por a las
Etiquetas: ,

No hay comentarios.:

Publicar un comentario

Suscribirse a: Comentarios de la entrada (Atom)