Re: logs do ipchains

To: Giuliano Cardozo Medalha <giuliano@usp.br>
Cc: debian-user-portuguese@lists.debian.org
Subject: Re: logs do ipchains
From: Pedro Zorzenon Neto <pzn@terra.com.br>
Date: Sat, 5 Jan 2002 10:06:11 -0200
Message-id: <[🔎] 20020105120611.GA4744@mantis.autsens.localnet>
Reply-to: pzn@terra.com.br
In-reply-to: <[🔎] Vh6EO.A.eCD.OAgN8@murphy>
References: <[🔎] Vh6EO.A.eCD.OAgN8@murphy>

On Fri, Jan 04, 2002 at 04:56:03PM -0200, Giuliano Cardozo Medalha wrote:
> Pessoal
 
> 
 
> Estou utilizando o ipchains (dentre sua finalidade principal) para gerar 
> logs de invasao.
 
> 
 
> O problema e que nao estou encontrando uma maneira de configurar o nome do 
> arquivo do log gerado, para /var/log/invasoes por exemplo !!!
 
> 
 
> 
 
> Voces sabem como fazer isso ?
 
> 
 
> Obrigado
 
> 
 
> Giuliano

Oi Giuliano,

    No caso do ipchains, é o kernel que gera o log, e não o próprio
ipchains. As configurações do log são feitas em /etc/syslog.conf
    "man syslog", "man syslog.conf", "man syslogd" podem ajudar.

    Um método de ler apenas os logs do ipchains é:

  cat /var/log/syslog.0 /var/log/syslog | grep "kernel: Packet log:"

    Somente uma questão que você deve tomar cuidado... se você optar por
logar muitas coisas, os logs podem ficar grandes demais e atrapalhar o
uso normal da máquina. Ex: se eu descubro que você está logando pacotes
de tentativas ao uso do telnet (-s 0/0 -d suamaquina 23 -p tcp -l -y)
então posso fazer um programa que gera + ou - 100 pacotes destes por
segundo para sua máquina... isso vai gerar aprox 50MB de logs por hora
no seu servidor. Eu posso derrubar o seu servidor a partição /var/log
estiver junto com a partição principal simplesmente pois ele ficou com o
hd cheio...

--- citado de [1] --- Chapter 1 Introduction
One of the hardest things about writing security documents is that every
case is unique. Two things you have to pay attention to are the threat
environment and the security needs of the individual site, host, or
network. For instance, the security needs of a home user are completely
different from a network in a bank. While the primary threat a home user
needs to face is the script kiddie type of cracker, a bank network has
to worry about directed attacks. Additionally, the bank has to protect
their customer's data with arithmetic precision. In short, every user
has to consider the tradeoff between usability and security/paranoia.

Note that this HOWTO only covers issues relating to software. The best
software in the world can't protect you if someone can physically access
the machine. You can place it under your desk, or you can place it in a
hardened bunker with an army in front of it. Nevertheless the desktop
computer can be much more secure (from a software point of view) than a
physically protected one if the desktop is configured properly and the
software on the protected machine is full of security holes. Obviously,
you must consider both issues.
--- fim da citação ---

    Sobre logs de invasão, veja também outras ferramentas NIDS, IDS
([Network] Intrusion Detection System) como o "snort". A ref [1] fala
do "snort" também.

    E o mais importante: de nada adianta logar o que acontece se ninguém
vai ler isso frequentemente... adote uma política de envio automatico
dos logs para e-mails e assegure-se de que as pessoas vão ler :-)

    Espero que esta resposta ajude :-)

    Abraços,
      Pedro

Duas referencias que podem ajudar:
   [1] http://www.debian.org/doc/admin-manuals#securing
   [2] http://helio.loureiro.eng.br/firewall/

Reply to:

References:
- logs do ipchains
  - From: Giuliano Cardozo Medalha <giuliano@usp.br>

Prev by Date: xracer
Next by Date: Problemas com Exim
Previous by thread: Re: logs do ipchains
Next by thread: Re: logs do ipchains
Index(es):
- Date
- Thread