Segurana em Servidores Linux: Norma ISO 27002

Importncia do Registro de Eventos

A necessidade de registro das atividades dos usurios e servios dos sistemas , notoriamente, muito importante para os administradores. Quando o administrador tem um controle sobre todos os Logs que sistema Linux tem para oferecer, a administrao se torna muito mais fcil, pois os logs nos ajudam a descobrir o porque determinada aplicao no funcionam. Alguns logs at apontam a linha e o que erramos no arquivo. Os logs ajudam tambm a descobrir, se no sistema teve algum acesso indevido, registros de tentivas de intruso e at mesmo problemas com o nosso hardware. Os sistemas GNU/Linux por padro j cobrem boa parte desses logs, e muitas das atividades que acontecem j so registrados pelo sistema.

Buscando conformidade com as recomendaes

A norma NBR ISO/IEC 27002, no item 10.10 e 10.10.1, fala sobre detectar e registrar atividades no autorizadas onde prioridade adotar uma poltica de segurana onde os registros de logs devam atender s seguintes caractersticas:

Identifcao dos usurios; Datas e horrios de entrada (login, logout); identidade do terminal, nome da mquina ou IP; Registro das tentativas de acesso aos aceitos e rejeitados; Registro das tentativas de acesso a outros recursos e dados aceitos e
1

Segurana em Servidores Linux: Norma ISO 27002

rejeitados;

Alterao de arquivos; Uso de privilgios, aplicativos e utilitrios do sistema.

A norma tambm diz, no item 10.10.3, sobre proteo das informaes de registros(logs), onde os recursos e informaes de registros(logs), sejam protegidos contra falsifcao e acesso no autorizados.

Executando alguns procedimentos:

Podemos analisar algumas das confguraes padres dos sistemas Linux. Todos os comandos digitados por usurios so mantidos em um histrico, que o usurio pode consulta-lo quando precisar, esse recurso que permite que o usurio possa voltar os comandos que j digitou, simplesmente voltando com a seta do teclado. Essa funcionalidade o history, onde cada usurio possui o seu arquivo com o seu histrico. 1. Pode-se utilizar o comando history, para visualizar o histrico do usurio que estamos utilizando: # history 2. Olharemos a varivel de ambiente que armazena a localidade do arquivo de histrico do usurio que estamos utilizando, para ter certeza de sua localidade:

Segurana em Servidores Linux: Norma ISO 27002

# set | grep HISTFILE 3. Como estamos utilizando o usurio root, podemos ver que o arquivo de histrico dele o /root/.bash_history: # cat /root/.bash_history | less Todos os histricos so armazenados em memria para depois que o usurios efetuar um logof ele ser registro no seu arquivo individual. Nos sistemas Linux, ns temos um diretrio muito conhecido que o /var/log, onde fcam registrados todos os logs do sistema, que so controlados pelo Syslog, o programa padro do Linux para essa tarefa de logs. Dentro desse diretrio, podemos destacar alguns logs que no podem ser lidos por um editor de texto comum, eles esto em formatos binrios e somente os seus comandos relacionados podem mostrar os seus contedos. Um desses logs o wtmp, que contem a informao de todos os tltimos registros e logins dos usurios. O seu contedo s pode ser visualizado pelo comando last. # last # last root # last toor Temos tambm o btmp, que bem semelhante ao wtmp, mas ele mostra as ltimas tentativas de login que falharam. O seu contedo s pode ser visualizado pelo comando lastb.

Segurana em Servidores Linux: Norma ISO 27002

# lastb # lastb root # lastb toor Outro que temos o lastlog. Esse nos mostra quando cada usurio logou pela ltima vez, e nos da uma viso bem interessante. Podemos visualizar o seu contedo com o comando lastlog. # lastlog Temos tambm o utmp, que fca dentro de /var/run. Esse log nos da uma viso bem detalhada dos usurios que esto logado, em qual terminal esto logados, horrio e mais algumas informaes, at mesmo se for uma conexo remota, via ssh ou telnet. O seu contedo pode ser visualizado por dois comandos, o w e o who, qeu nos mostram informaes bem semelhantes. #w # who

Syslog-NG
Comentamos que o aplicativo padro do Linux para gerenciamento de logs o Syslog. Mas ns no vamos utilizar ele nesse momente. O Syslog tem uma verso melhorada que o Syslog-NG, que tem muitos mais recursos que o
4

Segurana em Servidores Linux: Norma ISO 27002

seu antecessor. Antes de qualquer coisa, vamos entender como o Syslog-NG funciona. A estrutura do Syslog-NG como um quebra-cabea, temos vrias peas separadas e temos que monta-las conforme desejamos para ter o nosso log personalizado. O Syslog-NG, possui trs peas bsicas: Source(Origem), Filter(Filtro) e Destination(Destino). Essas trs peas unidas formar o nosso Log. Vejam uma representao grfca desse quebra-cabea na fgura abaixo.

Durante a aula, ser visto como confgurar o Syslog-ng.