Control, Administración e Integridad de Logs - Herramientas y Estrategias para la Administración de Logs

A la hora de implementación de una estrategia de administración de logs, como refuerzo al trabajo realizado en el presente documento, se ha decidido implementar la siguiente arquitectura (esto sobre una plataforma Linux):

- Una estación como servidor de logs.

- Estaciones de una red configuradas para enviar sus log a mencionado servidor.

- Rotación de los archivos de log en la maquina servidora..

- Comprobación de integridad sobre los archivos renombrados (Archivos rotados).

Para este caso se utilizara la arquitectura de centralización de logs comentada inicialmente como propuesta A:

---

Inicialmente se explicarán algunos detalles que ayudarán a la comprensión de la configuración establecida, finalmente se describirá las herramientas y los detalles de configuración.

Algunos Archivos de Logs Importantes [19]

Entre los archivos primordiales para la verificación de integridad en un sistema Linux tenemos:

-         /var/log/lastlog (Aquí se encuentran los logs contenidos por el último log login. La información que se encuentra aquí es el login, el puerto y la hora a la que se realizo. Para especificar un sólo usuario a buscar, al llamar el archivo se le adiciona el comando

“-u” seguido del nombre del usuario deseado.

[root@nombremaquina log]# lastlog –u <nombreUsuario>

-         var/log/wtmp (información de log in y log out por parte de usuarios. Los datos que se presentan son el usuario, la terminal desde la cual se hizo el login, dirección IP[[http://www.wikilearning.com/editor/editor/fckeditor.html?InstanceName=TA&Toolbar=Default#_ftn15 [15]]],  fecha y hora del login, duración de la sesión.

-         usr/adm Transferencias ftp, los campos resultados de este archivo son:  Hora actual, duración de la transferencia FTP, Host remoto,  tamaño y nombre del archivo que se transfirió, tipo de transferencia, acciones especiales, dirección de la transferencia, modo de acceso y nombre de usuario, servicio solicitado, método para la autenticación y ID del usuario

-         /var/log/httpd/apache/acces_log_access_log Información de quien, como y cuando se contacto al servidor. La información del campo del log es la siguiente: Dirección IP de quien contacto al servidor, la fecha y la hora del contacto, comando o petición hacia el servidor y el código de estado.

-         var/log/messages Logs del sistema y del Kernel. Adicionalmente se encuentran también los mensajes de servicio de red.

Aunque se hace una revisión periódica de los archivos que almacenan logs, este esquema no es suficiente ya que es muy débil, pues permite que se realicen cambios en el UID[[http://www.wikilearning.com/editor/editor/fckeditor.html?InstanceName=TA&Toolbar=Default#_ftn16 [16]]] de un archivo y que el shellScript no lo note.