Configurando servidor Syslogd

  • Post author:
  • Post category:Sem categoria

Configurando um servidor de logs
As mensagens das m?quinas de sua rede podem ser centralizadas em uma ?nica m?quina, isto facilita o gerenciamento, an?lise e solu??o de problemas que ocorrem nas m?quinas da rede. Mais importante ainda ? que qualquer invas?o a esta??o de trabalho n?o ser? registrada localmente (podendo ser apagada posteriormente pelo invasor, isso ? comum).

Configurando o servidor de logs
Adicione a op??o -r ao iniciar o daemon syslogd para aceitar logs enviados das m?quinas clientes. Na distribui??o Debian modifique o arquivo /etc/init.d/sysklogd colocando a op??o -r na vari?vel SYSLOGD e reinicie o servi?o usando ./sysklogd restart.
Adicionalmente poder?o ser usadas as op??es -l m?quina (? um “L” min?sculo n?o uma letra “I”) para registrar o nome FQDN da m?quina e -h para redirecionar conex?es a outros servidores de logs (veja syslogd, Se??o 6.2.1).

Configurando m?quinas cliente
Modifique o arquivo /etc/syslogd.conf (veja Arquivo de configura??o syslog.conf, Se??o 6.2.1.1 colocando o nome do computador seguido de “@” para redirecionar as mensagens dos logs:
auth,authpriv.* @servlog
*.*;auth,authpriv.none @servlog
cron.* @servlog
daemon.* @servlog
kern.* -/var/log/kern.log
kern.* @servlog
lpr.* @servlog
mail.* /var/log/mail.log
user.* -/var/log/user.log
user.* @servlog
uucp.* -/var/log/uucp.log

E reinicie o daemon syslogd da m?quina cliente para re-ler o arquivo de configura??o: killall -HUP syslogd ou /etc/init.d/sysklogd restart.

OBS1: Mantenha o rel?gio do servidor de logs sempre atualizado (use o chrony ou outro daemon de sincronismo NTP para automatizar esta tarefa).

OBS2: ? interessante compilar um daemon syslogd personalizado modificando o nome e localiza??o do arquivo /etc/syslog.conf para enganar poss?veis invasores. Isto pode ser modificado no arquivo syslogd.c na linha:

#define _PATH_LOGCONF “/etc/syslog.conf”

Use a imagina??o para escolher um nome de arquivo e localiza??o que dificulte a localiza??o deste arquivo.

OBS3: Em uma grande rede, ? recomend?vel configurar um computador dedicado como servidor de log (desativando qualquer outro servi?o) e configurar o iptables para aceitar somente o tr?fego indo para a porta UDP 514 (syslogd):

iptables -P INPUT DROP
iptables -A INPUT -p udp –dport 514 -j ACCEPT