Archivos de registro de Linux para hacer una copia de seguridad y revisar por seguridad

Navega tus respuestas
3

Buenos días / tarde / noche a todos, estoy investigando qué archivos debo realizar copias de seguridad de forma externa desde mi máquina para poder monitorear cualquier actividad inusual. Miraría los archivos con regularidad, pero también si mi máquina se encuentra en mal estado cuando ingrese, me gustaría poder ver los registros respaldados y determinar las intrusiones / inicios de sesión / inicios de sesión del sistema, etc. (sí esto es "si" el atacante no modificó los archivos para que se engañen a sí mismos). También elegí monitorear las tareas de cron (tengo scripts de copia de seguridad, etc.) para asegurarme de que nada haya ido mal allí.

Como mi lista se enfoca específicamente en Linux, tal vez esta publicación sería más beneficiosa si se incluyeran otros sistemas operativos y el Título cambiara simplemente a "Registrar los archivos para hacer una copia de seguridad y revisar la seguridad". Si alguien quiere que lo haga, seguiré adelante para lograr que esta publicación sea más adecuada para la comunidad en general.

Hasta ahora, la lista que he acumulado es

/ var / log / audit

  • Supervisar las reglas de auditoría predeterminadas / reglas de auditoría personalizadas

/ var / log / messages

  • No estoy completamente seguro de si podría obtener alguna intrusión / modificación de esto, pero esto me daría una idea del estado del sistema en el inicio

/ var / log / secure & /var/log/wtmp

  • La autenticación intenta / falla

/var/log/cron

  • Supervisa los trabajos de cron

"/ var / log / httpd / ssl_error_log *" & "/var/log/httpd/ssl_access_log*"

  • Acceso y registro de errores para la página web (no estoy seguro de si esto ayudaría a mantener estos ... pero podría dar una idea si una IP aleatoria sigue golpeando mi página web. ¿No probaría nada pero podría advertir?)

¿Qué otros archivos recomienda la comunidad de seguridad? Por supuesto, siempre existe el valor predeterminado (respuesta completa del directorio / var / log) ... pero obviamente esto capturará una gran cantidad de datos que no son necesarios. (ni quería ... quiero conservar lo esencial (restricciones de tamaño, no un depurador Xorg, etc.).

    
pregunta bluerojo 22.04.2016 - 17:24
fuente

1 respuesta

2

Debes hacer una copia de seguridad de todos los archivos , no solo de los que crees que son importantes.

Tampoco haga copias de seguridad de archivos individuales. En su lugar, haga que su daemon de syslog envíe una copia de forma remota a su servidor de respaldo en tiempo real. La mayoría de los daemons de syslog admiten esto, y los buenos incluso admiten el envío a través de un canal cifrado. Si eso no es compatible, siempre puede configurar un túnel cifrado con stunnel, o transmitirlo a través del interfaz virtual de una VPN al objetivo. Es fácil hacer con varios sysloggers como rsyslog , journald , o syslog-ng .

    
respondido por el forest 24.04.2016 - 05:18
fuente

Lea otras preguntas en las etiquetas

Prueba de conceptos para exploits publicados Captura de contraseñas desde un archivo de volcado o navegador después de cerrar sesión