Houd je systeemlog gegevens bij Het is erg belangrijk dat de informatie die afkomstig is van syslog niet gecompromitteerd is. De bestanden in /var/log lees- en schrijfbaar maken voor slechts een beperkt aantal gebruikers is een goed begin. Houd een oogje op wat er daar weggeschreven wordt, speciaal onder de auth faciliteit. Veelvuldig mislukte logins bijvoorbeeld, kunnen een indicatie zijn voor een poging tot inbraak. Waar je je logbestand moet zoeken hangt af van je distributie. Onder een Linux systeem dat in overeenstemming is met de "Linux Filesystem Standard", zoals Red Hat, moet je kijken in /var/log en messages, mail.log en anderen controleren. Je kunt uitzoeken waar je distributie de logs wegschrijft door te kijken naar je /etc/syslog.conf bestand. Dit is een bestand dat syslogd (de systeem logging daemon) vertelt waar de diverse berichten moeten worden gelogd. Misschien wil je ook je log-rotating script of daemon zo instellen dat ze de logs langer bewaren, zodat je de tijd hebt om ze te onderzoeken. Bekijk het logrotate pakket op recente Red Hat distributies. Andere distributies hebben waarschijnlijk een soortgelijk proces. Als er met je logbestanden is geknoeid, kijk dan of je kan bepalen wanneer het geknoei is begonnen en met wat voor soort dingen geknoeid is. Zijn er grote periodes van tijd die niet gelogd zijn? Het zoeken op je backup tapes (als je die hebt) naar logbestanden waar niet mee geknoeid is, is een goed idee. Indringers staan er bekend om dat ze logbestanden aanpassen om hun sporen uit te wissen, maar ze moeten toch worden gecontroleerd op vreemde gebeurtenissen. Je kunt de indringer in de gaten krijgen als hij probeert toegang te verkrijgen of een programma misbruikt om het root account te pakken te krijgen. Misschien zie je wel log entries voordat de indringer tijd heeft om ze aan te passen. Je moet ook de auth faciliteit scheiden van andere loggegevens, evenals pogingen om van gebruiker te wisselen door gebruik te maken van su, login pogingen en andere loginformatie van gebruikers. Stel, indien mogelijk, syslog zo in dat het een kopie van de belangrijkste gegevens stuurt naar een veilig systeem. Dit voorkomt dat een indringer zijn sporen uit kan wissen door het verwijderen van zijn login/su/ftp/etc pogingen. Zie de syslog.conf man pagina en ga naar de @ optie. Er zijn diverse meer geavanceerde syslogd programma's beschikbaar. Neem een kijkje op voor Secure Syslog. Met Secure Syslog kun je je syslog entries versleutelen om zeker te weten dat er niemand mee heeft geknoeid. Een andere syslogd met meer mogelijkheden is . Hiermee heb je meer flexibiliteit in je logging en het kan ook voorkomen dat er met je remote syslog stromen wordt geknoeid. Tot slot, logbestanden zijn veel minder bruikbaar als niemand ze leest. Maak zo af en toe eens wat tijd vrij om je logbestanden te bekijken om een indruk te krijgen hoe ze er op een gewone dag uitzien. Dit kan helpen om alles wat ongebruikelijk is te onderscheiden.