GUIA METODOLÓGICA PARA LA GESTIÓN CENTRALIZADA DE LOGS DE SEGURIDAD Orientado a pymes

Transcripción

1 GUIA METODOLÓGICA PARA LA GESTIÓN CENTRALIZADA DE LOGS DE SEGURIDAD Orientado a pymes

2 TABLA DE CONTENIDO 1. INTRODUCCIÓN ALCANCE 3 2. DESARROLLO DE LA GUÍA METODOLÓGICA SINCRONIZACIÓN DE LOS RELOJES DE TIEMPO INFRAESTRUCTURA DE NTP INSTALACIÓN Y CONFIGURACIÓN DEL SERVIDOR INSTALACIÓN Y CONFIGURACIÓN DE CLIENTES TRANSPORTE DE EVENTOS INFRAESTRUCTURA DE LA CENTRALIZACIÓN CREACIÓN DEL TÚNEL DE SSH INSTALACIÓN Y CONFIGURACIÓN DEL SERVIDOR SSH CREACIÓN DEL TÚNEL DESDE LOS CLIENTES SSH INSTALACION Y CREACIÓN DEL REPOSITORIO DE DATOS INSTALACIÓN DE MYSQL CREACIÓN DE LA BD DE LOGS CONFIGURACIÓN DE PIPE CON EL QUE SYSLOG-NG SE COMUNICARA CON MYSQL INSTALACION Y CONFIGURACION DE HERRAMIENTAS DE ENVIO DE EVENTOS CONFIGURACIÓN DEL SERVIDOR CONFIGURACIÓN DE SERVIDOR SYSLOG-NG CONFIGURACIÓN DE CLIENTE WINDOWS CONFIGURACIÓN DE DISPOSITIVOS DE RED DEFINICION DE PROCEDIMIENTO COPIAS DE RESPALDO 44

3 1. INTRODUCCIÓN Una de las labores primordiales de la seguridad informática, es la administración de los registros de eventos o logs. El hecho de que estos estén distribuidos en los diferentes equipos de la organización hace que la labor de revisarlos y analizarlos requiera de mucho esfuerzo, por lo que son muy pocas personas las que lo hacen. Esta guía pretende llevar a una administrador de red, con conocimientos básicos en manejo de sistemas operativos UNIX-like, y con conocimientos de administración en Windows, en el proceso de implantar una infraestructura centralizada de logs con software de código abierto y también con software propietario pero de libre distribución. Esto para permitirle tener en un punto central los logs y hacer menos costosa en tiempo y más eficaz la revisión y análisis de los mismos. Otro aporte de esta guía es el enfoque forense que se les da a los logs por lo que se busca mantener las características de la evidencia digital como Autenticidad, Confiabilidad e Integridad, a través del transporte de los eventos. Cabe anotar que todos los comandos y acciones sobre los sistemas operativos usados, se deben realizar bajo permisos de administrador ALCANCE En esta guía se pretenden dar indicaciones técnicas a cerca del proceso de implantación de la infraestructura que permite centralizar los logs, mas no acoge el proceso previo de creación de políticas que rijan la administración de la información de la organización dentro de la que están los logs. Tampoco es parte de esta guía la definición de procedimientos para plasmar las políticas, a pesar de que es una base sobre la cual se pueden crear y complementar otros procedimientos. Esta guía esta orientada a pymes donde se considera que por su escala el impacto del tráfico de red no es muy importante gracias a su tamaño, por lo que no es parte de esta guía optimizar el manejo del tráfico de eventos. Esta guía busca lograr la centralización de los registros de eventos de una red de una pyme, sin embargo, no se encuentra comprendido en el alacance de esta, la centralización de logs generados por herramientas o dispositivos que no tengan soporte a syslog.

4 2. DESARROLLO DE LA GUÍA METODOLÓGICA 2.1. SINCRONIZACIÓN DE LOS RELOJES DE TIEMPO. Una parte importante a la hora de manejar eventos dispersos en varios sistemas, es el hecho de sincronizar los relojes de estos, pues en base a estos se identifica el tiempo (fecha y hora) en que sucedió un evento Infraestructura de NTP Para este fin se utilizará el protocolo NTP, el cual es jerárquico y permite que una serie de clientes se sincronicen con la hora de un servidor y a su vez, estos se comporten como servidores de menos jerarquía. Para este caso se usará un solo servidor NTP dentro de la organización que se sincronizará con servidores públicos en Internet. En caso de ser una red aislada de Internet se tomará como referencia el reloj de sus sistema, sincronizando a los demás equipos con este Instalación y configuración del servidor El servidor de NTP, el cual será el mismo servidor de logs, esta diseñado para ser un Linux Red Hat y tendrá instalado NTPd, un demonio que cumple con los requerimientos del protocolo NTP tanto como cliente así como servidor Configuración de zona horaria del servidor Para configurar la zona horaria del servidor y en general de los equipos UNIX like, existe un link simbólico llamado /etc/localtime. Para cambiar la zona horaria simplemente se debe cambiar ese link simbólico y apuntarlo al archivo en /usr/share/zoneinfo/, correspondiente. Por ejemplo para configurar la zona horaria de Bogotá: [root@m4_e4 Desktop]# ln sf /usr/share/zoneinfo/america/bogota /etc/localtime Instalación de NTPd Para instalar NTPd a partir de las fuentes descargamos el archivo ntp-4.2.2p3.tar.gz de la pagina ww.ntp.org Para descomprimirlo: [root@m4_e4 Desktop]# tar -xvf ntp-4.2.2p3.tar.gz -C. ntp-4.2.2p3/ ntp-4.2.2p3/util/timetrim.c La instalación se hace de esta manera [root@m4_e4 ntp-4.2.2p3]#./configure checking for a BSD-compatible install... /usr/bin/install -c... config.status: executing depfiles commands

5 ntp-4.2.2p3]# make cd. && \./scripts/genver version.m4 Compiling with GCC now generates lots of new warnings. Don't be concerned. They're just warnings.... make[1]: Leaving directory `/XXX/ntp-4.2.2p3' ntp-4.2.2p3]# make install cd. && \... make[1]: Leaving directory `/XXX/ntp-4.2.2p3' Configuración de NTPd NTPd en el servidor debe ser configurado para arrancar con el sistema operativo, por lo que crearemos un script con este fin. /etc/init.d/ntpd #!/bin/bash case "$1" in start) echo "Iniciando ntpd" /usr/local/bin/ntpd -A stop) echo "Terminando ntpd..." killall ntpd ;; *) echo "Uso: $0 {start stop}" exit 1 ;; esac Ahora se deben cambiar los permisos de este archivo para que sea ejecutable. [root@servidorlogs redhat]# chmod 700 /etc/init.d/ntpd Se configura el servidor para que se sincronice con el servidor público Simultáneamente se pueden tomar varias fuentes, lo que hará mas preciso nuestro servidor. Para cada fuente se agrega una línea: server [IP del servidor]. Existen varios servidores NTP Públicos en Internet que se podría utilizar con estos fines. /etc/ntp.conf server server x.x.x.x server y.y.y.y

6 server fudge stratum 10 driftfile /etc/ntp.drift logfile /var/log/ntpd.log El último servidor ( ), corresponde al reloj interno del sistema. Este se toma como servidor de respaldo si ninguno de los otros responde, aunque es menos preciso. Dado que no es tan preciso, con la línea: fudge stratum 10 se considera en numero del stratum como 10 que es un stratum mayor al de los otros servidores, por lo que si estos responden, este no se tomará en cuenta. Si la red es una red aislada, el servidor de tiempo tomara como referencia el reloj de su sistema. Esto no es tan preciso como estar sincronizado con un reloj externo, pero permitirá que internamente los relojes estén sincronizados entre si. Para que el servidor de NTP tome esta referencia, se usa el siguiente archivo de configuración: /etc/ntp.conf server logfile /var/log/ntpd.log Para que NTPd arranque automáticamente, se debe crear un enlace simbólico en /etc/rcx.d/, donde X es el nivel de ejecución en el que queremos que arranque. Por ejemplo si queremos que arranque en el nivel de ejecución 5: [root@servidorlogs redhat]# ln -s /etc/init.d/ntpd /etc/rc5.d/s15ntpd Y procedemos a arrancar el servicio manualmente [root@servidorlogs redhat]# /etc/init.d/ntpd start Instalación y configuración de clientes UNIX-like Lo primero que se tiene que configurar en los clientes con sistema operativo Unix Like es la zona horaria. Esto se hace igual que el servidor como fue explicado en la sección

7 Para configurar un cliente UNIX-like de manera que se sincronice con nuestro servidor de tiempo con dirección IP x.x.x.x, es necesario instalar NTPd de la misma manera que en el servidor (sección ). Luego de esto se utilizará la herramienta ntpdate provista por NTPd para sincronizar el reloj, y se configurará con crontab, la periodicidad con la que se llamará a ntpdate. Para editar el los trabajos programados con crontab: [root@servidorlogs redhat]#crontab /usr/local/bin/ntpdate x.x.x.x De esta manera se esta programando la ejecución cada vez que inicia el sistema operativo del comando /usr/local/bin/ntpdate podria ser u otras opciones mas especificas que provee crontab. Para mayor detalle de estas opciones se puede consultar el manual de crontab con el comando: [root@servidorlogs redhat]#man crontab Windows XP En Panel de Control/Fecha y Hora, existe una pestaña que permite configurar un servidor NTP con el cual el sistema operativo periódicamente se actualiza. En esta ventana se puede tanto configurar la zona horaria en la segunda pestaña, como configurar el cliente ntp en la tercera.

8 Router Cisco Para configurar un router Cisco como cliente NTP, se debe entrar en modo privilegiado y entrar en modo de configuración: Router#configure terminal Lo primero que se tiene que hacer es definir la zona horaria en la que está el router. Router(config)#clock timezone COL -5 El tercer campo (COL) corresponde al nombre que le asignaremos a esa zona horaria para q sea la que el router muestre. El ultimo campo es la diferencia con la hora UTC. Luego de estos, con el comando ntp server se define el servidor NTP que se usará Router(config)#ntp server TRANSPORTE DE EVENTOS Infraestructura de la centralización La infraestructura que permitirá el transporte seguro de los eventos, se muestra en la figura siguiente.

9 2.3. CREACIÓN DEL TÚNEL DE SSH El mecanismo con el que se le dará cifrado, autenticación e integridad a los mensajes syslog, será un túnel ssh. Para la creación de este túnel se usa un servidor ssh (En este caso OpenSSH) en el servidor de logs, y clientes ssh en los equipos que vayan a transmitir sus eventos Instalación y configuración del Servidor SSH En el servidor se instalará OpenSSH cono servidor ssh. Para la conexión desde los clientes, se usará un usuario creado para este fin llamado syslog Creación del usuario syslog y sshd Es necesario crear un usuario llamado syslog con el cual se hará la conexión ssh. Para esto como usuario root se ejecuta el siguiente comando: [root@servidorlogs redhat]# useradd -c 'Usuario syslog' -s /bin/false syslog [root@servidorlogs redhat]# passwd syslog Aquí se le asigna un password al usuario syslog. Tambien es necesario crear un usuario sshd

10 redhat]# groupadd sshd redhat]# useradd -g sshd -c 'Usuario sshd' -s /bin/false sshd Instalación del OpenSSH La instalación de OpenSSH depende de la instalación previa de OpenSSL y la librería Zlib. No esta dentro del alcance de esta guía instalar estos requerimientos. Luego de cumplir los requerimientos se necesita de este archivo: [root@servidorlogs SWCentr]# ls openssh-4.5p1.tar.gz Lo primero que se hace es descomprimirlo: [root@servidorlogs SWCentr]# tar -xvf openssh-4.5p1.tar.gz -C. openssh-4.5p1 openssh-4.5p1/ssh_config.0 [root@servidorlogs SWCentr]# cd openssh-4.5p1 Luego de esto se sigue el proceso estándar de instalación [root@servidorlogs openssh-4.5p1]#./configure checking for gcc... gcc Libraries: -lresolv -lcrypto -lutil -lz -lnsl -lcrypt [root@servidorlogs openssh-4.5p1]# make conffile=`echo sshd_config.out sed 's/.out$//'`; \ glob.o -L. -Lopenbsd-compat/ -lssh -lopenbsd-compat -lresolv -lcrypto -lutil -lz -lnsl -lcrypt [root@servidorlogs openssh-4.5p1]# make install if test! -z ""; then \ /usr/bin/perl5./fixprogs ssh_prng_cmds ; \ fi /usr/local/sbin/sshd -t -f /usr/local/etc/sshd_config Configurar SSHd como un servicio En el ejemplo estamos utilizando Mandrila 2006 que está basado en Red Hat, por lo que utilizaremos el script que administra el servicio, provisto en el tar.gz. [root@servidorlogs openssh-4.5p1]# cd contrib/redhat/ [root@servidorlogs redhat]# ls gnome-ssh-askpass.csh gnome-ssh-askpass.sh openssh.spec sshd.init* sshd.init.old* sshd.pam sshd.pam.old [root@servidorlogs redhat]# cp sshd.init /etc/init.d/sshd Luego de copiar este archivo, es necesario cambiar las rutas de los ejecutables. /etc/init.d/sshd KEYGEN=/usr/local/bin/ssh-keygen SSHD=/usr/local/sbin/sshd

11 RSA1_KEY=/usr/local/etc/ssh_host_key RSA_KEY=/usr/local/etc/ssh_host_rsa_key DSA_KEY=/usr/local/etc/ssh_host_dsa_key PID_FILE=/var/run/sshd.pid Ahora se deben cambiar los permisos de este archivo: redhat]# chmod 700 /etc/init.d/sshd Ahora hay que configurar en que niveles de ejecución se quiere que arranque el servicio automáticamente. En el ejemplo nos interesa que el nivel de ejecución 5 arranque automáticamente el servicio por lo que listamos el contenido de /etc/rc5.d/, para saber que servicios ya están configurados. [root@servidorlogs redhat]# ls /etc/rc5.d/ S04acpi@ S12syslog@ S15mdadm@ S24messagebus@ S30dm@ S56rawdevices@ S91smb@ S99local@ S05harddrake@ S13partmon@ S17alsa@ S25haldaemon@ S33nifd@ S75keytable@ S92httpd@ S10network@ S14acpid@ S18sound@ S25netfs@ S34mDNSResponder@ S80freshclam@ S92lisa@ S11portmap@ S14nfslock@ S20xfs@ S29numlock@ S40atd@ S90crond@ S95kheader@ Se busca que el servicio de ssh arranque después de que portmap halla arrancado por lo que podemos asignarle el mismo numero (11) ya que el siguiente orden q se toma es el alfabético por lo que Ssh arrancaría luego de Portmap. [root@servidorlogs redhat]# ln -s /etc/init.d/ /etc/rc5.d/s11sshd Los clientes se conectarán utilizando autenticación basada en llaves publicas y privadas. Para que más adelante se puedan agregar las llaves públicas de los clientes al servidor es necesario crear en la carpeta home de syslog una carpeta llamada.ssh y un archivo dentro de esta llamado authorized_keys [root@servidorlogs redhat]# mkdir ~syslog/.ssh/ [root@servidorlogs redhat]# touch ~syslog/.ssh/authorized_keys Creación del túnel desde los clientes SSH Con Openssh(Linux) El cliente ssh que se utilizará en los equipos linux es el mismo OpenSSH, por lo cuel se sigue el mismo proceso de intalación explicado en la sección Al final del ultimpo comando, en los clientes se generará un error ya que no se usará sshd. Se debe hacer caso omiso a este error. Generación de llaves OpenSSH viene con una herramienta que permite generar el par de llaves (privada y pública), llamada ssh-keygen. De laq siguiente manera se puede crear el par que quedará guardado en /root/.ssh/id_rsa y /root/.ssh/id:rsa.pub en la máquina cliente.

12 syslog-ng]# /usr/local/bin/ssh-keygen -t rsa Generating public/private rsa key pair. Enter file in which to save the key (/root/.ssh/id_rsa): <ENTER> Enter passphrase (empty for no passphrase): <ENTER> Enter same passphrase again: <ENTER> Your identification has been saved in /root/.ssh/id_rsa. Your public key has been saved in /root/.ssh/id_rsa.pub. The key fingerprint is: da:2d:6f:5b:65:82:94:c5:b7:18:ad:3b:0b:50:5c:e1 Luego de esto la información de id_rsa.pub debe ser agregada al archivo ~syslog/.ssh/authorized_keys en el servidor, donde ~syslog es la carpeta home del usuario syslog. Se reinicia el demonio sshd en el servidor con el comando: ]# /etc/init.d/sshd restart Creación del túnel en inittab Lo primero que se debe hacer es correr el comando correspondiente a la creación del túnel ssh con el usuario root, para que se guarde la huella del servidor en caché y no se requiera interacción del usuario en un futuro. /etc/inittab es un archivo en el que se definen los niveles de ejecución de Linux y se corre antes de arrancar los mismos. En este archivo podemos escribir un comando que cree el túnel ssh para que este disponible en los niveles de ejecución. La línea que se le agrega a este archivo es la siguiente /etc/inittab tssh:5:respawn:/usr/bin/ssh -i /root/.ssh/id_rsa -fnnq -L 5014:localhost:514 syslog@ Aclaración: Es una sola línea. Por motivos de presentación se dividió, pero se debe mantener todo el comando en la misma línea. Tssh corresponde a la manera de idetificar este comando en inittab. 5 se refiere al nivel de ejecución en el que se quiere que se corra. P.E. si se quiere también que se corra en el nivel de ejecución 3, la linea comenzaria: tssh:35:resp Con Plink (Windows) Plink es un cliente SSH gratuito, que hace parte del paquete PUTTY, que se puede descargar en Con esta herramienta se puede crear el túnel SSH desde Windows, con una línea de comandos. Con la ayuda de srvany.exe se puede crear un servicio a partir de esta línea de comandos que arranque con el sistema operativo sin necesidad de que inicie sesión un usuario (algo muy común en los servidores).

13 Creación de Usuario syslog Para crear el usuario se ingresa en la consola de administración dando clic derecho en MiPC>Administrar En el árbol se busca Usuario y se da clic derecho Usuario nuevo Es necesario activar la opción La contraseña nunca caduca.

14 Es importante que syslog tenga permisos de administrador para acceder al log de seguridad de Windows.

15

16 Generación de llaves con PUTTYGEN El paquete PUTTY, tiene una herramienta de generación de llaves llamada PUTTYGEN, con la que se genera el par de llaves para la usar con Plink. Al abrir la aplicación se da clic en el botón Generate.

17 El generador solicita mover el Mouse en el área vacía para generar la aleatoriedad necesaria para generar las llaves.

18 El texto generado corresponde a la llave pública y lo necesitaremos para agregarlo al servidor, por lo que lo se guardará en un archivo. Luego se debe guardar la llave privada con Save private key. Este archivo debe estar bien protegido. También es recomendable que la ruta completa del archivo no tenga espacios ni caracteres especiales.

19 En el servidor de logs se debe modificar el archivo ~syslog/.ssh/authorized_keys. ~syslog se refiere al directorio home del usuario syslog. Normalmente ~syslog=/home/syslog/. En este archivo al final pegamos el texto generado como llave pública. /home/syslog/.ssh/authorized_keys ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAIBR94AAyte1v//NcP3cWh69Qc8bQxE2+CR o8nkzuol2dsbf53zxmv+bde2vklw6grpftsejflopkdkxpese3dqwhbbftsen3/ +7HIPBK0wVkPoJQwyp7e/LvGMC0T8TwrvZhBzgVoXwTzuMhqHPGP3vSUpi Mv2HtEyRhiJXSN+jLw== rsa-key Una vez se haya agregado la llave publica en el servidor, el demonio de sshd en este se debe reiniciar. Configuración de servicio Lo primero que se necesita es ubicar el ejecutable PLINK.exe, en la máquina. Es recomendable que sea en una carpeta cuya ruta no sea muy larga, ni tenga espacios o caracteres especiales (P.E. C:\PLINK\).

20 En esta misma carpeta pueden estar ubicados srvany.exe, instsrv.exe y la llave privada y publica generadas anteriormente. En este momento es necesario cerrar sesión con el usuario administrador e iniciar sesión con syslog. Esto pues la creación del túnel requiere la primera vez que se realiza de la interacción del usuario con el que se abrirá. Para hacer esto se debe crear el túnel manualmente desde una línea de comandos. C:\Plink>c:\plink\plink N l syslog L 5014:localhost:514 i C:\Plink\PrivateKey.ppk IP.DEL.SERVIDOR.LOGS The server's host key is not cached in the registry. You have no guarantee that the server is the computer you think it is. The server's key fingerprint is: ssh-rsa 1024 e4:c9:51:50:61:63:e9:cd:73:2a:60:6b:f0:be:25:bf If you trust this host, enter "y" to add the key to PuTTY's cache and carry on connecting. If you want to carry on connecting just once, without adding the key to the cache, enter "n". If you do not trust this host, press Return to abandon the connection. Store key in cache? (y/n) y Using username "syslog". Con esto queda guardada la huella del servidor en la cache de plink y de ahora en adelante no se necesitará intervención del usuario para abrir el túnel, por lo que se puede ejecutar de fondo sin problemas. Para probar esto se puede volver a escribir: C:\Plink>plink N l syslog L 5014:localhost:514 i C:\Plink\PrivateKey.ppk IP.DEL.SERVIDOR.LOGS Using username "syslog". Ahora que se sabe que la linea plink N l syslog L 5014:localhost:514 i C:\Plink\PrivateKey.ppk funciona se puede crear el servicio con nombre tunelssh que la corra al arrancar la maquina. Esto se hace con ayuda de srvany.exe y de instsrv.exe descargables de C:\Plink>instsrv tunelssh c:\plink\srvany.exe The service was successfully added! Make sure that you go into the Control Panel and use the Services applet to change the Account Name and Password that this newly installed service will use for its Security Context. Con esto se creo un servicio llamado tunelssh que ejecuta c:\plink\srvany.exe Para que srvany ejecute el comando necesario para crear el tunel es necesario editar el registro:

21 Se busca la llave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tunelssh Aquí se crea una Clave Parameters y se ingresa a ella.

22 Adentro de parameters se crea un valor alfanumérico llamado Application, que se edita y se le da como valor la línea que ejecutamos anteriormente.

23

24 Ahora se configura el servicio para que inicie como el usuario syslog creado anteriormente.

25

26 Aquí se proporcionan los datos (usuario y contraseña) de syslog, y en la pestaña General se configura Tipo de Inicio como Automático. Ahora se puede iniciar el servicio con el botón correspondiente en la pestaña General INSTALACION Y CREACIÓN DEL REPOSITORIO DE DATOS Instalación de Mysql La instalación de Mysql es mucho mas sencilla a partir de RPMs descargables de Los RPMs necesarios son los siguientes: perl-dbi mdk.i586.rpm MySQL-server-standard rhel3.i386.rpm MySQL-client-standard rhel3.i386.rpm La manera de instalarlos es la siguiente: [root@servidorlogs SWCentr]# urpmi perl-dbi mdk.i586.rpm installing perl-dbi mdk.i586.rpm

27 Preparing... ############################################# 1/1: perl-dbi ############################################# SWCentr]# urpmi MySQL-server-standard rhel3.i386.rpm warning: MySQL-server-standard rhel3.i386.rpm: V3 DSA signature: NOKEY, key ID 5072e1f5 installing MySQL-server-standard rhel3.i386.rpm Preparing... ############################################# 1/1: MySQL-server-standard ############################################# /usr/sbin/mysqld: Can't read dir of '/root/tmp/' (Errcode: 13) /usr/sbin/mysqld: Can't read dir of '/root/tmp/' (Errcode: 13) PLEASE REMEMBER TO SET A PASSWORD FOR THE MySQL root USER! To do so, start the server, then issue the following commands: /usr/bin/mysqladmin -u root password 'new-password' /usr/bin/mysqladmin -u root -h ServidorLogs password 'new-password' See the manual for more instructions. Please report any problems with the /usr/bin/mysqlbug script! The latest information about MySQL is available on the web at Support MySQL by buying support/licenses at Starting MySQL SUCCESS! [root@servidorlogs SWCentr]# urpmi MySQL-client-standard rhel3.i386.rpm warning: MySQL-client-standard rhel3.i386.rpm: V3 DSA signature: NOKEY, key ID 5072e1f5 installing MySQL-client-standard rhel3.i386.rpm Preparing... ############################################# 1/1: MySQL-client-standard ############################################# Luego se le debe asignar una contraseña al usuario root dentro de MySQL [root@servidorlogs SWCentr]# mysqladmin -u root password 'passwordpararoot' Creación de la BD de logs Ahora se necesita el script que crea la base de datos y el usuario para accederla:./scriptbd.sql CREATE DATABASE syslog; USE syslog; #crear tabla donde se almacenaran los logs CREATE TABLE logs ( host varchar(32) default NULL, facility varchar(10) default NULL, priority varchar(10) default NULL, level varchar(10) default NULL, tag varchar(10) default NULL, datetime datetime default NULL, program varchar(15) default NULL, msg text,

28 seq bigint(20) unsigned NOT NULL auto_increment, PRIMARY KEY (seq), KEY host (host), KEY program (program), KEY datetime (datetime), KEY priority (priority), KEY facility (facility) ) TYPE=MyISAM; USE mysql; # crear usuario con el que se insertaran los logs INSERT INTO user (Host, User, Password) VALUES ('localhost','syslog', password('passwordparasyslog')); INSERT INTO db (Host, Db, User) VALUES ('localhost','syslog','syslog'); COMMIT; FLUSH PRIVILEGES; GRANT SELECT, INSERT, DELETE, CREATE, ALTER, LOCK TABLES ON syslog.* TO syslog@localhost; [root@servidorlogs SWCentr]# mysql -p Enter password:[passwordpararoot] Welcome to the MySQL monitor. Commands end with ; or \g. Your MySQL connection id is 4 to server version: standard Type 'help;' or '\h' for help. Type '\c' to clear the buffer. mysql> source scriptbd.sql Query OK, 1 row affected (0.08 sec) Database changed Query OK, 0 rows affected, 1 warning (0.07 sec) Reading table information for completion of table and column names You can turn off this feature to get a quicker startup with -A Database changed Query OK, 1 row affected, 3 warnings (0.00 sec) Query OK, 1 row affected (0.00 sec) Query OK, 0 rows affected (0.00 sec) Query OK, 0 rows affected (0.01 sec) Query OK, 0 rows affected (0.00 sec)

29 Configuración de pipe con el que syslog-ng se comunicará con mysql syslog-mysql-pipe.sh #!/bin/bash if [ -e /var/log/mysql.pipe ]; then while [ -e /var/log/mysql.pipe ] do mysql -u syslog --password=passwordparasyslog syslog < /var/log/mysql.pipe done else mkfifo /var/log/mysql.pipe fi [root@servidorlogs redhat]# chmod 700 /root/syslog-mysql-pipe.sh 2.5. INSTALACION Y CONFIGURACION DE HERRAMIENTAS DE ENVIO DE EVENTOS Configuración del servidor Instalación de syslog-ng Para la instalación de syslog-ng se necesitaran estos 2 archivos: [root@servidor_logs syslog-ng]# ls eventlog tar.gz* syslog-ng-2.0rc3.tar.gz* Instalacion de Eventlog Se debe descomprimir el archivo tar.gz. [root@servidor_logs syslog-ng]# tar -xvf eventlog tar.gz -C. eventlog-0.2.5/ [root@servidor_logs syslog-ng]# cd eventlog Luego se sigue el proceso estándar de instalación a partir de sus fuentes: [root@servidor_logs eventlog-0.2.5]#./configure checking for a BSD-compatible install... /usr/bin/install c config.status: executing depfiles commands [root@servidor_logs eventlog-0.2.5]# make make all-recursive make[1]: Leaving directory `/XXX/syslog-ng/eventlog-0.2.5' [root@servidor_logs eventlog-0.2.5]# make install

30 Making install in src Libraries have been installed in: /usr/local/lib make[1]: Leaving directory `/XXX/syslog-ng/eventlog-0.2.5' Como se muestra en la salida, las librerías quedan instaladas en /usr/local/lib Para verificarlo eventlog-0.2.5]# ls /usr/local/lib/libevtlog* /usr/local/lib/libevtlog.a /usr/local/lib/libevtlog.so.0.0.0* /usr/local/lib/libevtlog.la* eventlog-0.2.5]# ls /usr/local/lib/pkgconfig/ eventlog.pc Instalación de Syslog-ng eventlog-0.2.5]# cd.. Se descomprime también el.tar.gz de syslog-ng syslog-ng]# tar -xvf syslog-ng-2.0rc3.tar.gz -C. syslog-ng-2.0rc3/ syslog-ng-2.0rc3/contrib/relogger.pl syslog-ng]# cd syslog-ng-2.0rc3 syslog-ng-2.0rc3]# export PKG_CONFIG_PATH=$PKG_CONFIG_PATH:/usr/local/lib/pkgconfig/ syslog-ng-2.0rc3]#./configure --enable-dynamic-linking checking for a BSD-compatible install... /usr/bin/install c config.status: executing depfiles commands [root@servidor_logs syslog-ng-2.0rc3]# make make all-recursive make[1]: Leaving directory `/XXX/syslog-ng-2.0rc3' [root@servidor_logs syslog-ng-2.0rc3]# make install Making install in src make[1]: Leaving directory `/XXX/syslog-ng/syslog-ng-2.0rc3' Se creara un archivo de configuración el cual más adelante se desarrollará. [root@servidor_logs syslog-ng-2.0rc3]# touch /usr/local/etc/syslog-ng.conf Syslog-ng quedó instalado en /usr/local/sbin/. Ahora es necesario configurarlo como un servicio Configuración de syslog-ng como un servicio en el servidor Syslog-ng trae un ejemplo de script de arranque para RedHat, así como para otros sistemas operativos. Se copia este script en la carpeta /etc/init.d/ [root@servidor_logs syslog-ng-2.0rc3]# cp contrib/init.d.redhat /etc/init.d/syslog-ng [root@servidor_logs syslog-ng-2.0rc3]# chmod 700 /etc/init.d/syslog-ng

31 Y se edita el archivo /etc/init.d/syslog-ng, insertando luego de PATH=/bin:/sbin:/usr/bin:/usr/sbin, el texto que aparece en negrita. Tambien se configura la ruta en la que se instalo syslog-ng (por defecto es /usr/local/sbin/syslog-ng) /etc/init.d/syslog-ng... INIT_PROG="/usr/local/sbin/syslog-ng" # Full path to daemon INIT_OPTS="" # options passed to daemon PATH=/bin:/sbin:/usr/bin:/usr/sbin LD_LIBRARY_PATH=/usr/local/lib/ export LD_LIBRARY_PATH /root/syslog-mysql-pipe.sh & INIT_NAME=`basename "$INIT_PROG"`... Ahora se decide en que niveles de ejecución queremos que arranque el servicio. Para revisar que nivel utiliza el sistema operativo por defecto se abre el archivo /etc/inittab, y se busca esta línea, /etc/inittab id:x:initdefault: donde X es el nivel que utiliza el sistema para arrancar. Luego se crea un enlace simbólico en el directorio /etc/rcx.d/. En ese ejemplo se usará el nivel de ejecución 5 por lo se creará el enlace en /etc/rc5.d/. Primero se lista que enlaces existen. [root@servidor_logs syslog-ng-2.0rc3]# ls /etc/rc5.d/ K55routed@ S03iptables@ S04acpi@ S05harddrake@ S10network@ S11mysql@ S11sshd@ S12portmap@ S12syslog@ S13partmon@ S14acpid@ S14nfslock@ S15mdadm@ S17alsa@

32 Los enlaces que comienzan con K se refieren a los servicios que se van a detener cuando se cargue este nivel de ejecución. Los que comienzan con S los que se van a arrancar. El número que sigue a K o S y precede al nombre del servicio se refiere al orden. Si existen 2 con el mismo número el orden alfabético es el que sigue el sistema operativo para arrancar. El servicio de syslog-ng debe iniciar luego de que haya capacidades de comunicación o sea después de que suba la red, después de que haya subido el servidor SSH(sshd) y luego de que la base de datos (mysql) haya arrancado. Se le puede asignar en el ejemplo el numero 11 a syslog-ng, y se cumplirian esas condiciones. [root@servidor_logs syslog-ng-2.0rc3]#ln -sv /etc/init.d/syslog-ng /etc/rc5.d/s11syslog-ng Además es necesario borrar el enlace simbólico de syslog, pues podría entrar en conflicto con syslog-ng. [root@servidor_logs syslog-ng-2.0rc3]#rm /etc/rc5.d/s12syslog El proceso se repite para todos los niveles de ejecución (/etc/rcx.d/), en los que se necesite que arranque syslog-ng Configuración de servidor syslog-ng /usr/local/etc/syslog-ng.conf options { check_hostname(yes); keep_hostname(yes); chain_hostnames(no); };