Quote:
Originariamente inviato da W.S.
In particolare in /var/log/auth.log per quanto riguarda gli accessi autenticati o tentativi di accessi tramite autenticazione (ssh, login, etc)
Per accessi non autenticati tramite altre vie (es. servizi vulnerabili) vanno controllati i log relativi ai servizi. Spesso in caso di attacco in kernel-land (es rootkit) è possibile che si trovi qualcosa di strano in kern.log.
Se vuoi tenere d'occhio tutti gli attacchi in modo centralizzato (e più preciso) potresti installare un IDS (snort).
|
i log si trovano in posti diversi in base alla configurazione e a che logger si usa...
Con syslog-ng mi sono fatto le cartelle con i log divisi ogni mese, in cui ho ficcato un auth.log auth_err.log ssh_auth.log e ssh_auth_err.log...
Il consiglio di installare un IDS per tenere d'occhio gli attacchi, direi che e' una mezza cavolata (ehi senza offesa eh!)... visto che per riuscire a configurare snort (e tener le regole aggiornate) diciamo che non e' a portata di tutti, inoltre il fine-tuning di snort e' una delle cose che porta via tanto di quel tempo da far spavento, almeno che uno non si accontenti di vedere 10000 tra "attacchi" e falsi positivi al giorno... il che si traduce che dopo i primi 5 giorni in cui uno si diverte a vedere ogni tipo di segnalazione, non caga piu' nemmeno i log... e il risultato di tutto questo e': una bella perdita di tempo + un falsa sensazione di sicurezza.
Io consiglierei l'uso di snort solo in casi di aziende abbastanza grosse con una persona competente che possa dedicargli almeno un paio di ore al giorno (ovviamente se uno se lo vuole installare a scopo didattico e' un altro discorso).
Piuttosto direi di installare qualche parser dei log che faccia un bel report, tipo logwatch, o probabilmente ce ne sono degli altri... o al massimo imparare a configurarsi umanamente bene syslog-ng per avere i log in maniera che sia facile trovare quello che si vuole...
Ciao!