3.2 Bitácoras

BITÁCORAS DEL SISTEMA

La seguridad y administración de un sistema operativo tiene en las bitácoras un gran aliado, ya que en ellas se registran los eventos que ocurren el sistema operativo, es decir eventos que el administrador pasaría inadvertidos sin el respaldo de las bitácoras. Para una buena administración de bitácoras es necesario conocer 3 cosas:

1. Conocer el propósito de cada bitácora.

2. Conocer el formato en el que se presenta la información.

3. Conocer los ataques propios de cada servicio.

BITÁCORAS BÁSICAS

Messages.

Este archivo contiene bastante información, por lo que debemos buscar

sucesos inusuales, aquí podemos ver todos los mensajes que el sistema mando

a la consola, por ejemplo, cuando el usuario hace el login, los TCP_WRAPPERSmandan aquí la información, el cortafuegos de paquetes IP también la manda aquí, etc.

Xferlog.

Si el sistema comprometido tiene servicio FTP, este archivo contiene el loggeo de todos los procesos del FTP. Podemos examinar que tipo de herramientas han subido y que archivos han bajado de nuestro servidor.

Wtmp.

Cada vez que un usuario entra al servidor, sale del mismo, la máquina resetea, este archivo es modificado. Este archivo al igual que el anterior esta en binario por lo que tendremos que usar alguna herramienta especial para ver el contenido de este archivo