Informática

[Tartu]

Logwatch y Tripwire

Aunque hagamos todo lo que podamos para asegurar nuestro sistema, la realidad es que por mucho que nos empeñemos nunca estaremos completamente seguros. Una mejor estrategia que simplemente confiar en que no pase nada, es asegurarnos de que sepamos si nuestro sistema ha sido comprometido y en el caso de que lo sea, cuándo.
Un programa de detección de intrusos que muchas veces se subestima es Tripwire (http://www.tripwire.org/). Este programa comprueba los archivos de tu sistema de manera periódica para ver si alguno de ellos ha sido modificado. Si alguno se ha modificado y no debería haberlo sido, Tripwire generará un informe para que puedas tomar decisiones según esta información.

Tripwire requiere de un poco de tiempo para ser configurado de manera apropiada pero el esfuerzo merece la pena; Tripwire me ayudó a identificar una intrusión en un servidor que administraba hace un par de años. En el artículo del próximo mes hablaré sobre la instalación y configuración de Tripwire.

Una fuente de información inestimable sobre lo que está ocurriendo en tu pc son los archivos de registro (que normalmente se encuentran en /var/log). Todos los registros que se llevan a cabo en un sistema Linux se manejan por el demonio syslogd y su archivo de configuración /etc/syslog.conf. El archivo de configuración especifica sobre qué subsistemas se deben grabar los mensajes (por ejemplo cron, daemon, mail, etc), qué niveles de mensajes registrar (por ejemplo debug, info, warn, etc) y qué hacer con esos mensajes (añadirlo a un archivo de registro, enviarlo a la impresora, etc).

Si quieres cambiar la configuración por defecto encontrarás bastante información en las páginas de manual (syslogd(8), syslog.conf(5), syslog(2), y mas).

Syslog permite también el registro remoto; guardando tus archivos de registro en otros pcs de la red. La ventaja de esto es que si tu sistema queda comprometido por alguien serán incapaces de borrar sus pasos de tus archivos de registro haciendo mas sencillo el buscar su origen y las acciones que llevaron a cabo.

Desafortunadamente hay demasiada información en los diferentes archivos de registro para que el usuario medio lo pueda asimilar por lo que recurrimos a Logwatch. Logwatch (http://www.logwatch.org/), según lo describen sus autores, "procesa tus archivos de registro para un determinado periodo de tiempo y crea un informe analizando las áreas que especifiques, con tanto detalle como requieras."

Logwatch está instalado por defecto en las distribuciones más comunes y normalmente generará por defecto informes diarios enviándolos al correo electrónico del usuario root. Dado que estos informes son normalmente muy cortos deberían ser leídos cada día. Resaltarán, dependiendo de la configuración, informacion del tipo intentos de login inválidos, conexiones de red a varios demonios como SSHD, posibles escaneos de puertos, etc. Su archivo de configuración suele estar situado en /etc/log.d/conf/logwatch.conf y está bien documentado con comentarios que te ayudarán en la configuración.

Hay otros sistemas de detección de intrusos que podrías querer considerar, como Snort - http://www.snort.org/, puedes encontrarlos facilmente con una búsqueda rápida en internet.