From UnderLinux Wiki

Tabela de conteúdo 1 Criando um Servidor de Logs 1.1 Informações para este tutorial 1.2 Passos no Servidor 1.2.1 Configurando o Servidor de logs para aceitar conexões remotas (dos logs) 1.2.2 Caso tenha um firewall em seu servidor de logs 1.3 Passos no Cliente 1.3.1 Configurando o cliente para enviar os logs para o servidor de logs 1.3.2 Caso tenha um firewall no cliente 1.4 Testes para verificar se esta ok 1.5 Considerações finais

Criando um Servidor de Logs

Adianta ter um bom sistema de segurança e os logs sendo gravados neste mesmo sistema? A primeira coisa que o kiddie vai fazer é remover os logs :)

Gravando estes logs em um servidor separdo (um 486 velho) irá diminuir o risco de você não ter a informação quando precisar e ainda centralizar as informações.

Informações para este tutorial

Serviço: syslogd
Protocolo UDP
Porta 514
logserver 192.168.0.10 Slackware 9.0
cliente 192.168.0.2 RedHat 7.3
#caso tenha firewall, regras para iptables e ipchains

Passos no Servidor

Configurando o Servidor de logs para aceitar conexões remotas (dos logs)

1. Pare o syslogd kill -9 `ps ax |grep syslogd |awk '{print $1}'` 2. Verifique se o processo não esta rodando (ps ax |grep syslog) 3. Inicie ele como o comando:

# syslogd -rm 0 

inclua esta sintaxe (-rm 0) no arquivo de inicialização do syslog redhat (/etc/rc.d/init.d/syslog) slack (/etc/rc.d/rc.syslog). O "-r" significa para aceitar conexões remotas e o "m 0" para não aparecer --MARK-- no log (slack :)

Caso tenha um firewall em seu servidor de logs

• habilite o recebimento de pacotes UDP na porta 514

para iptables:

iptables -A INPUT -p udp -s 192.168.0.2 -i eth0 -j ACCEPT

(ou para rede toda iptables -A INPUT -p udp -s 192.168.0.0/24 -i eth0 -j ACCEPT)

para ipchains:

ipchains -A input -p udp -i eth0 -s 192.168.0.2 -d 192.168.0.10 514 -j ACCEPT

(ou para toda rede ipchains -A input -p udp -i eth0 -s 192.168.0.0/24 -d 192.168.0.10 514 -j ACCEPT)

Passos no Cliente

Configurando o cliente para enviar os logs para o servidor de logs

1. Edite o arquivo de configuração do syslog (/etc/syslogd.conf) e inclua a opção de quais informações ele irá gravar no servidor de logs, por exemplo para todas as mensagens do kernel, seria kern.* [uns 6 tabs teclado aqui] @logserver para enviar todas as informações para o servidor de logs, deixe somente a sintaxe

# /etc/syslogd.conf
*.* @logserver

2. Inclua a informação de quem eh o logserver dentro do /etc/hosts caso você opte por utilizar esta sintaxe

echo -e '192.168.0.10 logserver' >> /etc/hosts

Caso tenha um firewall no cliente

para itpables:

iptables -A OUTPUT -p udp -d 192.168.0.10 -o eth0 -j ACCEPT

para ipchains:

ipchains -A output -p udp -i eth0 -d 192.168.0.10 514 -j ACCEPT

Testes para verificar se esta ok

Depois que os passos informados acima forem seguidos sem que houvessem erros não solucionados, faça o seguinte:

1. vá na máquina cliente e faça login, depois deslogue 2. vá até o servidor e verifique o arquivo de log correspondente (/var/log/messages)

Ele deverá incluir a informação no arquivo de log, o interessante é que ele grava o nome da máquina, podendo ser facilmente separado para análise no futuro.

Considerações finais

Depois de concluído estes passos as informações setadas acima na máquina cliente serão enviadas via rede para o servidor de logs. O lugar (arquivo) que estas informações serão gravadas vai depender do arquivo de configuração do syslog no servidor (/etc/syslogd.conf) provavelmente o /var/log/messages ou /var/log/secure, confirme isto no arquivo de configuração

Mais importante do que gravar estas informações é ter backup das mesmas e analisar com frequência para verificar se não existem problemas diversos nos servidores ou tentativas de invasões frustadas ou não :)

Referência: http://www.linuxsecurity.com/feature_stories/logserver-1.html

-- . . surf3r.. linux user: #309468