Replicar logs

Question

Replicar logs

SuperJavi 15 sep 2004 09:44

Adicto

435 mensajes
desde sep 2000

¿Como puedo hacer para replicar log's "al vuelo"? Es decir, que los log's de una máquina se vayan escribiendo a la vez en la máquina local y en una máquina de la red como medida de seguridad.
La idea estener los log's en 2 máquinas y poder compararlos por si ha habido algún cambio entre ellos. ¿Hay otra opción para hacer esto? Muchas gracias.

8 respuestas

Answer 1 · 2004-09-15T10:07:38+00:00

Syslog soporta escribir el log en una máquina remota. Sin embargo... ¿como va a ser distinto si se escribe lo mismo?

Salu2.Ferdy

Answer 2 · 2004-09-15T11:35:39+00:00

En caso de que alguien entre en el sistema se puede cargar los logs para evitar ser descubierto, replicándolos en otro no podría modificarlos.

man syslog.conf

Ahí tienes ejemplos, es tan sencillo como en vez de poner el fichero donde se debe guardar el log, poner @host donde se enviarán. Por supuesto el host remoto debe tener a syslogd escuchando.

Answer 3 · 2004-09-15T11:49:26+00:00

Uhm... si alguien puede editar el log... por qué supones que los logs del otro serán buenos.

Vamos que si editan el log... pueden haber troyanizado syslog para que envíe los cambios tambien al otro server.

Como medida de seguridad, no vale.

Salu2.Ferdy

SuperJavi 15 sep 2004 13:06 Adicto **435** mensajes desde **sep 2000** · Answer 4 · 2004-09-15T12:06:13+00:00

Pues tenia pensado eso precisamente, lo de tener los 2 log's como medida de seguridad. Pero es verdad, no habia contado con el posbiel "trtoyanizado" de syslog. ¿Que opción "segura" podría haber?

Answer 5 · 2004-09-15T13:17:06+00:00

Que tengas un MD5 de casi todos los binarios y demonios importantes en una máquina aparte o un CD o algo.

Que copies con esos ficheros el md5sum y lo que este necesite (aka una especie de jaula). Y que si observas algo "raro" compruebes todos los md5.

El syslog que loguea en paralelo te puede servir si desde esa máquina no se permite el login directo a la otra. Pero siempre como un añadido, no como la base de la seguridad.

Salu2.Ferdy

Debianera 15 sep 2004 14:42 Habitual 56 mensajes desde **may 2004** · Answer 6 · 2004-09-15T13:42:08+00:00

Buenas

si la salida de syslog la mandas a una impresora eso ya no podrán modificarlo

Answer 7 · 2004-09-15T14:06:15+00:00

Si alguien se consigue loguear como root por ejemplo, eso aparecerá en el log, y por lo tanto en el host remoto. A partir de entonces pueden cambiar syslogd por uno troyanizado, pero el log del acceso ya no lo pueden borrar.

Claro, como única medida es bastante pobre, pero en conjunción con por ejemplo tripwire o msec es útil.

SuperJavi 15 sep 2004 15:39 Adicto **435** mensajes desde **sep 2000** · Answer 8 · 2004-09-15T14:39:51+00:00

Muchas gracias a todos amigos. Voy a probar la sugerencia de ferdy, replicar en otra maquina e impedir el acceso desde la primera. Creo que es buena idea esa.