Que es logcheck?Logcheck verifica cada una de las lineas de archivos de logs basandose en distitos tipos de niveles y los reporta al SysAdmin en un formato simple, para que pueda entenderlo, por ejemplo envía por mail las lineas mas importarntes como ser cambio de contraseñas, intentos de loguin fallidos, ataques y cualquier otra alerta que creamos importante.
En conclusion, nos ayuda a encontrar problemas de violaciones de seguridad automáticamente en nuestros archivos y los envía por mail, por defecto cada hora y luego de realizar un reboot.
Soporta 3 niveles de filtrado: "paranoid" es para elevada seguridad de maquinas ejecutando la menor cantidad de procesos que sea posible.
"server" es la configurada por defecto y contiene reglas para diferentes demonios. Tambien incluye "paranoico"
"workstation" incluye "paranoid" y "server"
El mensaje que reporta es informado con 3 etiquetas: "eventos de sistemas"
"eventos de seguridad"
"alertas de ataques" Ejemplos: logcheck puede ser invocado directamente por su o sudo, quien cambia el UID.
sudo -u logcheck logcheck -o -t
FILES /etc/logcheck/logcheck.conf is the main configuration file.
/etc/logcheck/logcheck.logfiles is the list of files to monitor.
/usr/share/doc/logcheck-database/README.logcheck-database.gz for hints
on how to write, test and maintain rules.
# apt-get install logcheck
# logcheck
logcheck should not be run as root. Use su to invoke logcheck:
su -s /bin/bash -c "/usr/sbin/logcheck" logcheck
Or use sudo: sudo -u logcheck logcheck.Editamos los archivos que deseamos que nos informe:# vim /etc/logcheck/logcheck.logfiles
/var/log/syslog
/var/log/auth.log
/var/log/messages
Archivo de configuracion:# vim /etc/logcheck/logcheck.conf
DATE="$(date +'%Y-%m-%d %H:%M')"
INTRO=1
REPORTLEVEL="server"
SENDMAILTO="morsa@mi-dominio.com"
MAILASATTACH=0
FQDN=1
SUPPORT_CRACKING_IGNORE=1
RULEDIR="/etc/logcheck"
SYSLOGSUMMARY=0
ATTACKSUBJECT="Security Alerts"
SECURITYSUBJECT="Security Events"
EVENTSSUBJECT="System Events"
ADDTAG="yes"
TMP="/tmp"
Instalamos postfix para que envíe el correo:# apt-get install postfix
Ok
Internet Site
logserver.mi-dominio.com
Testeamos que llegue un correo de prueba: (sino poseemos el comando mail lo instalamos con apt-get install bsd-mailx)# echo hola | mail morsa@mi-dominio.com
Instalamos sudo para poder ejecutarlo sin que sea root:# apt-get install sudo
Ejecutamos el logcheck con el sudo:# sudo -u logcheck logcheck -o -t