Houd je systeemlog gegevens bij Het is erg belangrijk dat de informatie die afkomstig is van
syslog niet gecompromitteerd is. De bestanden in /var/log
lees- en schrijfbaar maken voor slechts een beperkt aantal gebruikers is
een goed begin. Houd een oogje op wat er daar weggeschreven wordt, speciaal onder de
auth faciliteit. Veelvuldig mislukte logins bijvoorbeeld, kunnen
een indicatie zijn voor een poging tot inbraak. Waar je je logbestand moet zoeken hangt af van je distributie. Onder een
Linux systeem dat in overeenstemming is met de "Linux Filesystem Standard",
zoals Red Hat, moet je kijken in /var/log en messages,
mail.log en anderen controleren. Je kunt uitzoeken waar je distributie de logs wegschrijft door te kijken
naar je /etc/syslog.conf bestand. Dit is een bestand dat
syslogd (de systeem logging daemon) vertelt waar de diverse
berichten moeten worden gelogd. Misschien wil je ook je log-rotating script of daemon zo instellen dat ze
de logs langer bewaren, zodat je de tijd hebt om ze te onderzoeken. Bekijk
het logrotate pakket op recente Red Hat distributies. Andere
distributies hebben waarschijnlijk een soortgelijk proces. Als er met je logbestanden is geknoeid, kijk dan of je kan bepalen wanneer
het geknoei is begonnen en met wat voor soort dingen geknoeid is. Zijn er
grote periodes van tijd die niet gelogd zijn? Het zoeken op je backup tapes
(als je die hebt) naar logbestanden waar niet mee geknoeid is, is een goed
idee. Indringers staan er bekend om dat ze logbestanden aanpassen om hun sporen
uit te wissen, maar ze moeten toch worden gecontroleerd op vreemde
gebeurtenissen. Je kunt de indringer in de gaten krijgen als hij probeert
toegang te verkrijgen of een programma misbruikt om het root account te pakken
te krijgen. Misschien zie je wel log entries voordat de indringer tijd heeft
om ze aan te passen. Je moet ook de auth faciliteit scheiden van andere
loggegevens, evenals pogingen om van gebruiker te wisselen door gebruik te
maken van su, login pogingen en andere loginformatie van
gebruikers. Stel, indien mogelijk, syslog zo in dat het een kopie van de
belangrijkste gegevens stuurt naar een veilig systeem. Dit voorkomt dat een
indringer zijn sporen uit kan wissen door het verwijderen van zijn login/su/ftp/etc
pogingen. Zie de syslog.conf man pagina en ga naar de @
optie. Er zijn diverse meer geavanceerde syslogd programma's
beschikbaar. Neem een kijkje op voor Secure Syslog. Met Secure Syslog
kun je je syslog entries versleutelen om zeker te weten dat er niemand mee
heeft geknoeid. Een andere syslogd met meer mogelijkheden is .
Hiermee heb je meer flexibiliteit in je logging en het kan ook voorkomen dat
er met je remote syslog stromen wordt geknoeid. Tot slot, logbestanden zijn veel minder bruikbaar als niemand ze leest.
Maak zo af en toe eens wat tijd vrij om je logbestanden te bekijken om een
indruk te krijgen hoe ze er op een gewone dag uitzien. Dit kan helpen om
alles wat ongebruikelijk is te onderscheiden.