lunes, 3 de octubre de 2011

LogCheck en Debian Squeeze

Que es logcheck?

Logcheck verifica cada una de las lineas de archivos de logs basandose en distitos tipos de niveles y los reporta al SysAdmin en un formato simple, para que pueda entenderlo, por ejemplo envía por mail las lineas mas importarntes como ser cambio de contraseñas, intentos de loguin fallidos, ataques y cualquier otra alerta que creamos importante.

En conclusion, nos ayuda a encontrar problemas de violaciones de seguridad automáticamente en nuestros archivos y los envía por mail, por defecto cada hora y luego de realizar un reboot.

Soporta 3 niveles de filtrado:

"paranoid" es para elevada seguridad de maquinas ejecutando la menor cantidad de procesos que sea posible.

"server" es la configurada por defecto y contiene reglas para diferentes demonios. Tambien incluye "paranoico"

"workstation" incluye "paranoid" y "server"


El mensaje que reporta es informado con 3 etiquetas:

"eventos de sistemas"
"eventos de seguridad"
"alertas de ataques"

Ejemplos:

logcheck puede ser invocado directamente por su o sudo, quien cambia el UID.

sudo -u logcheck logcheck -o -t



FILES
/etc/logcheck/logcheck.conf is the main configuration file.

/etc/logcheck/logcheck.logfiles is the list of files to monitor.

/usr/share/doc/logcheck-database/README.logcheck-database.gz for hints
on how to write, test and maintain rules.


# apt-get install logcheck


# logcheck

logcheck should not be run as root. Use su to invoke logcheck:
su -s /bin/bash -c "/usr/sbin/logcheck" logcheck
Or use sudo: sudo -u logcheck logcheck.

Editamos los archivos que deseamos que nos informe:
# vim /etc/logcheck/logcheck.logfiles
/var/log/syslog
/var/log/auth.log
/var/log/messages


Archivo de configuracion:
# vim /etc/logcheck/logcheck.conf

DATE="$(date +'%Y-%m-%d %H:%M')"
INTRO=1
REPORTLEVEL="server"
SENDMAILTO="morsa@mi-dominio.com"
MAILASATTACH=0
FQDN=1
SUPPORT_CRACKING_IGNORE=1
RULEDIR="/etc/logcheck"
SYSLOGSUMMARY=0
ATTACKSUBJECT="Security Alerts"
SECURITYSUBJECT="Security Events"
EVENTSSUBJECT="System Events"
ADDTAG="yes"
TMP="/tmp"


Instalamos postfix para que envíe el correo:
# apt-get install postfix
Ok
Internet Site
logserver.mi-dominio.com


Testeamos que llegue un correo de prueba: (sino poseemos el comando mail lo instalamos con apt-get install bsd-mailx)
# echo hola | mail morsa@mi-dominio.com


Instalamos sudo para poder ejecutarlo sin que sea root:
# apt-get install sudo


Ejecutamos el logcheck con el sudo:
# sudo -u logcheck logcheck -o -t
Publicado por en
Etiquetas: , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)