File di log di Linux per il backup e la revisione per sicurezza

3

Buongiorno / pomeriggio / sera a tutti, sto cercando in quali file dovrei costantemente eseguire il backup esternamente dalla mia macchina per poter monitorare qualsiasi attività insolita. Guarderei i file regolarmente, ma anche se la mia macchina si trova in uno stato negativo quando arrivo, vorrei poter esaminare i registri di backup e determinare eventuali intrusioni di sistema / accessi / accessi non riusciti, ecc. (Sì questo è "se" l'attaccante non ha modificato i file per essere fuorvianti stessi). Ho anche scelto di monitorare le attività di cron (ho script di backup, ecc.) Per garantire che nulla fosse andato storto lì.

Dato che il mio elenco si rivolge specificamente a Linux, forse questo post sarebbe più vantaggioso se fossero inclusi altri sistemi operativi e il titolo fosse cambiato solo in "File di registro per il backup e la revisione per sicurezza". Se qualcuno mi vorrebbe, andrò avanti e lo realizzerò per far sì che questo post si adatti meglio alla comunità in generale.

Finora l'elenco che ho accumulato è

/ var / log / audit

  • Monitora le regole di controllo predefinite / regole di controllo personalizzate

/ var / log / messages

  • Non sono del tutto sicuro se sarei in grado di carpire eventuali intrusioni / modifiche da questo, ma questo mi darebbe un'idea dello stato del sistema all'avvio

/ var / log / secure & / var / log / wtmp

  • tentativi di autenticazione / fallimenti

/ var / log / cron

  • Controlla cron-jobs

"/ var / log / httpd / ssl_error_log *" & "/ var / log / httpd / ssl_access_log *"

  • Accesso e registro degli errori per la pagina web (non è sicuro se ciò contribuirebbe a trattenere questi ... ma potrebbe dare un'idea se un IP casuale ha continuato a colpire la mia pagina Web. Non proverebbe nulla ma potrebbe avvisare?)

Quali altri file consiglia la comunità di sicurezza? Ovviamente c'è sempre il default (intera / var / log risposta alla directory) ... ma ovviamente questo catturerà molti dati che non sono necessari. (né voluto ... voglio mantenere l'essenziale (vincoli di dimensione, non un debugger di Xorg, ecc.)

    
posta bluerojo 22.04.2016 - 17:24
fonte

1 risposta

2

Devi eseguire il backup dei file tutti , non solo di quelli che ritieni importanti.

Non eseguire il backup di singoli file. Invece, fai in modo che il tuo demone syslog invii una copia in remoto al tuo server di backup in tempo reale. La maggior parte dei demoni syslog supportano questo, e quelli buoni persino supportano l'invio su un canale criptato. Se questo non è supportato, puoi sempre impostare un tunnel crittografato con stunnel, o trasmetterlo all'interfaccia virtuale di una VPN alla destinazione. È facile farlo con vari sysloggers come rsyslog , journald o /configuring_syslogng_to_send_logs.shtml">syslog-ng.

    
risposta data 24.04.2016 - 05:18
fonte

Leggi altre domande sui tag