Logs y Auditoría. E q u i p o d o c e n t e S i s t e m a s O p e r a t i v o s

Transcripción

1 Logs y Auditoría E q u i p o d o c e n t e S i s t e m a s O p e r a t i v o s U n i v e r s i d a d d e L a s P a l m a s d e G r a n C a n a r i a

2 Información sobre los procesos 2

3 ps Informa sobre el estado de los procesos del sistema, admite varias opciones para especificar la información a mostrar. ps aux less Podemos filtrar o buscar información de un proceso en particular, combinando con el comando grep, para obtener información de un programa particular miprograma. ps ax grep miprograma 3

4 kill Para matar un proceso. kill 4976 Envia la señal kill(9) al proceso con identificador 4976 para matarlo pstree Presenta de forma gráfica un árbol con los procesos del sistema. La raiz del arbol es el primer proceso del sistema init. 4

5 top Muestra los procesos que mas CPU consumen, incluyendo información de uso de CPU y memoria en tiempo real, actualizándose cada 5 segundos. Para salir del comando top presione la tecla q. Se pueden dar ordenes interactivas como: u ordenar por usuario M ordenar por memoria P ordenar por usos de CPU h ayuda de pantalla 5

6 renice Permite alterar la prioridad de un proceso. w,who Muestra que usuarios están conectados y que están haciendo. ac Muestra datos estadísticos del tiempo que se han conectado los usuarios. 6

7 uptime Indica el tiempo que el sistema lleva encendido. ficheros /var/run/utmp, /var/log/wtmp Registros que almacenan información de quienes están usando el sistema actualmente. Desde programa haciendo #include <utmp.h> podemos utilizarlos y obtener información del los procesos. El fichero wtmp registra todos los inicios y final de sesión, updwtm escribe líneas en este fichero. 7

8 Uso de la memoria free Muestra: la memoria principal del sistema el área swap la cantidad de memoria usada, libre, compartida, usada por los buffers del núcleo y memoria cache. /proc/meminfo 8

9 Información del sistema de ficheros 9

10 df Muestra la utilización del espacio en disco en el sistema de ficheros. du Muestra una estimación del uso de espacio de ficheros en cada directorio. lsof Muestra el estado de todos los módulos instalados en el sistema. 10

11 lsmod Muestra el estado de todos los módulos instalados en el sistema. modprobe Permite añadir o quitar módulos dentro del núcleo. 11

12 Información del hardware 12

13 lspci Muestra una lista de todos los dispositivos PCI, que están conectados al bus PCI, mostrando constructor, modelo, tamaño de la memoria. setpci Permite configurar los dispositivos PCI. 13

14 lscpu Muestra información de la arquitectura de la CPU. lsusb Lista los dispositivos USB 14

15 Herramientas gráficas 15

16 En Aplicaciones Herramientas del sistema encontramos utilidades gráficas como: monitor del sistema Edit - permite parar, reanudar, matar y finalizar un proceso. View - podemos ver información de todos los procesos o un proceso en particular, sus dependencias y la memoria que usa. Recursos - podemos ver de forma gráfica el historial de uso de la Cpu, memoria y red del sistema. Sistema de archivos - podemos ver de modo gráfico el uso del disco por parte de los sistemas de ficheros. 16

17 Recursos adicionales /proc /proc/cpuinfo /proc/modules /proc/version 17

18 Logs 18

19 Log == registro 19

20 Son ficheros en texto plano, en los que se pueden hacer búsquedas y lecturas sin necesidad de usar herramientas especiales. Se encargan de recoger los mensajes generados por los programas, aplicaciones y demonios y enviarlos a un destino predefinido. Están ubicados en /var/log 20

21 Cada mensaje proporciona información: La fecha y la hora La fuente (el programa que generó el mensaje) La prioridad (nivel de importancia del mensaje) 21

22 Demonios 22

23 rsyslogd Klogd (antiguo) Se configura mediante el fichero /etc/rsyslog.conf 23

24 rsyslogd Demonio que gestiona los ficheros de log del sistema. No los administra todos, ya que hay programas que tienen sus propios logs (apache, squid, etc). 24

25 klogd Se encarga de los logs del kernel. Lo normal es que klogd envíe sus mensajes a syslogd. 25

26 Configuración de rsyslogd /etc/rsyslog.conf Fichero de configuración del demonio rsyslogd #### MODULES #### Módulos que utiliza rsyslogd $ModLoad imuxsock.so #### GLOBAL DIRECTIVES #### Directivas globales de formato mensaje $ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat #### RULES #### Reglas a ser aplicadas mail.* -/var/log/maillog 26

27 Configuración de syslogd /etc/syslog.conf #### RULES #### *.info;mail.none;authpriv.none;cron.none /var/log/messages authpriv.* mail.* cron.* uucp,news.crit local7.* /var/log/secure -/var/log/maillog /var/log/cron /var/log/spooler /var/log/boot.log 27

28 Qué servicio? Servicio kern user mail daemon aut syslog lpr cron local0-7 Descripción Generados por el kernel Procesos de usuario Mensajes correo Demonios del sistema Sistema de autorización Mensajes internos syslogd Sistema impresión Sistema cron Reservados 28

29 Con qué prioridad? Prioridad Debug Info Notice Warning Err Crit Alert Emerg None Descripción Mensajes Depuración Mensajes información No son errores, pero requieren atención Avisos (cuotas, vencimiento pass, etc) Otros errores Condiciones críticas (errores dispositivos) Alerta (ciertos usuarios) Emergencia (todos los usuarios) No se envían a los logs 29

30 Dónde se guardan? Fichero: <ruta> (más común) Dispositivo: /dev/<dispositivo> Programa: <ruta_fichero> 30

31 Información man del sistema man (8) rsyslogd man (5) rsyslog.conf Más información: 31

32 /var/log /var/log/messages: logs del núcleo; log con prioridad info, notice o warn /var/log/secure.log: logs de seguridad, los modulos de seguridad PAM (Pluggable Authentication Module) escriben aquí. /var/log/auth.log: se registran los login del sistema así como sus intentos fallidos. (en la configuración actual /var/log/audit/audit.log /var/log/dmesg: información del 32arranque.

33 Auditando 33

34 lastlog Lista de los usuarios del sistema y la fecha y hora de su último acceso. Cuándo entró el usuario root en el sistema? $ lastlog -u root -u: especificar nombre concreto de usuario /var/log/lastlog Base de datos con los logins 34

35 last Último logging que ha habido al sistema Quién fue el último usuario que entró? $ last Se apoya en el fichero /var/log/wtmp 35

36 lastb Usuarios que intentaron entrar y no pudieron Quién intentó entrar y no pudo? $ lastb Se apoya en el fichero /var/log/btmp 36

37 Eliminar nuestro rastro 37

38 Cómo? => Barredores Programas que eliminan entradas en los ficheros log Programas exploits como: cloak, cloak2, UTClean, remove, utmpedit, SYSLOG Fogger, marry 38

39 Soluciones Backups ficheros log Log remotos Herramientas de terceros Logs duros (en papel) 39

40 Mirando logs 40

41 Ver archivos manualmente es inviable Comando de filtro: find: buscar archivos en directorios grep: filtrar líneas que coincidan con patrones dados egrep = grep -e fgrep = grep -f 41

42 sort: ordenación, mezclado o comparación entre líneas. uniq: eliminación de entradas repetidas sucesivas. cut: extracción de campos según un delimitador dado de cada línea de un fichero. sed: editor de texto en línea de comandos. awk: similar a sed, pero más complejo. 42

43 find Dónde está el fichero? $ find / -name nombre_fichero Qué archivos tienen permisos r+w+x en todos los directorios? $ find / -perm

44 Mirando logs: find Dónde se guardan los logs de Apache? $ find / -name error_log Dónde puse la práctica de ASO? $ find / -name Mi_practicaASO 44

45 grep Ha intentado el usuario root entrar? $ lastb grep root Qué archivos de /var/log se modificaron en Diciembre? $ ls -lt /var/log grep dic 45

46 Mirando logs: grep Crear un fichero log único de peticiones DHCP $ echo $(date) >> dhcp_log && \ grep DHCP /var/log/messages >> dhcp_log Ha intentado el usuario fran entrar? $ lastb grep fran Qué archivos de /var/log se modificaron en mes actual? $ ls -latr /var/log grep $(date +%b) 46

47 cut / sort / uniq Quiénes son los usuarios que más entran? $ last cut -f1 -d ' ' sort uniq -c sort -nr head -n Últimas entradas de usuarios 2. Cogemos el nombre del usuario 3. Ordenamosman c 4. Contamos el número de veces que aparecen repetidos 5. Ordenamos numéricamente de mayor a menor 6. Mostramos los 10 primeros 47

48 Mirando logs: sed Borrar las líneas de DHCP de messages $ cat /var/log/messages sed /DHCP/d > sindhcp_log Sustituir la antigua IP por la nueva en script $ sed s/ / / /root/inicia_red Quitar comentarios de un código bash (solo los que tienen en primera columna #) $ cat codigo sed s/^#// > codigo_sincomentarios 48

49 Mirando logs: awk Borrar todos los directorios de una carpeta $ ls -l grep '^d' awk '{print "rm -r "$9}' sh 1. Listamos el contenido del directorio actual 2. Filtramos los que contienen una d (directorio) 3. Imprimimos los comandos de borrado 4. Lo mandamos al shell para que lo ejecute 49

50 Logrotate 50

51 En sistemas con muchos usuarios los logs crecen muy rápidamente. Mucha información Archivos muy grandes 51

52 LOGROTATE script /etc/cron.daily/logrotate Se encarga de comprimir y aplicar una rotación de archivos, añadiéndoles la extensión.1.gz,. 2.gz volviendo a crear uno vacío. Cuanto mayor sea el número, más antiguo será el log. 52

53 ü Logrotate cambia, comprime y envía logs del sistema. ü Tarea diaria (cron) /etc/logrotate.conf rotate 5 weekly /var/log/messages { create 0640 admin root compress postrotate /bin/kill -HUP cat /var/run/syslogd.pid endscript } 53 man lograte

54 Más herramientas 54

55 SWATCH: supervisión en tiempo real, log e información. Finger: conseguir información de la máquina atacante. Splunk: analizador de log. WATCHER: analizador logs y procesos Webmin: interfaz web para gestionar y administrar el sistema. 55

56 PingLogger: logs de paquetes ICMP LogSurfer: llevar a cabo acciones en base a patrones encontrados en ficheros log. NetLog: logs de tráfico TCP/UDP 56

57 Usando Webmin Descargar RPM (2do enlace): Instalar: doble click, aceptar todo Abrir navegador: Entrar con usuario root y su respectiva contraseña Log File Rotation / System Logs 57