Si no está revisando los archivos de registro diariamente, corre el riesgo de perder información crucial del sistema. He aquí cómo hacer que esta tarea sea fácil en Linux, con Logwatch.
3 consejos para hacer más fácil el uso de sshLos administradores de Linux probablemente usarán el shell seguro con frecuencia. Estos consejos ayudarán a que la experiencia sea más eficiente.
Cualquier buen administrador de sistemas le dirá que uno de los mejores lugares para iniciar la solución de problemas está en los archivos de registro. Esto es cierto para los problemas cotidianos del sistema o, lo que es más importante, para los problemas de seguridad. En sistemas Linux, estos registros se encuentran en /var/log y se pueden ver con un terminal y cualquier número de comandos (less y cat, por ejemplo. Esto, por supuesto, significa que tendrá que abrir un terminal, cambiar al directorio /var/log y ver los archivos de registro uno por uno. ¿Qué pasaría si pudieras hacer uso de una sola aplicación que monitoreara ese directorio de registro y creara un resumen agregado de entradas que pudieras revisar fácilmente? Un archivo, muchos registros.
Más información sobre ciberseguridad
Ahí es donde entra en juego Logwatch. Con esta sencilla herramienta, los registros se clasifican por servicios que se ejecutan en un sistema Linux. Puede configurar qué registros desea incluir en el agregado e incluso crear análisis personalizados para satisfacer necesidades especiales.
Quiero guiarte en el proceso de instalación, configuración y uso de Logwatch. Estaré haciendo una demostración en Ubuntu Server 16.04.
VER: Protección de la política de Linux (Tech Pro Research)
Instalación
Como Logwatch se encuentra en los repositorios estándar, puede instalar la herramienta desde la línea de comandos en casi cualquier distribución. Simplemente modifique el comando que aparece a continuación para que se ajuste al gestor de paquetes de su distribución en particular.
Para instalar en Ubuntu, abra un terminal y emita el comando:
sudo apt-get install logwatch
Dependiendo de su configuración actual, es posible que se le pida que configure Postfix durante la instalación (.
La razón por la que necesita configurar Postfix es para la entrega del correo electrónico de Logwatch. Dependiendo de cómo desee que se le envíe el correo electrónico, tendrá que seleccionar una de las opciones disponibles. Si opta por la opción Sólo local, puede instalar mailutils (sudo apt install mailutils) y luego buscar correo con el comando sudo mail.
Una vez finalizada la instalación, estará listo para realizar la configuración.
Configuración
Toda la configuración de Logwatch se maneja en un solo archivo. Abra un terminal y emita el comando sudo nano /usr/share/logwatch/default.conf/logwatch.conf. La primera opción a ser configurada es dirigir a Logwatch a donde enviar el correo electrónico. La opción que buscas es MailTo =. La forma de configurar esto dependerá de cómo hayas configurado el servicio. Si configuró Logwatch para la entrega sólo local, deberá configurar MailTo = para el usuario que desea que lea el correo electrónico. Si configura Logwatch para Internet o Internet con Smarthost, querrá configurar esa opción a la dirección de correo electrónico necesaria para ver el resumen de Logwatch.
Desplácese un poco más hacia abajo, hasta la opción MailFrom =. Si utiliza Logwatch con Internet o Internet con Smarthost, debe configurar esta opción para que sea una dirección de correo electrónico legítima (de lo contrario, podría tener problemas con la entrega remota.
La siguiente opción es Rango =, lo que le permite configurar el resumen del correo electrónico con las siguientes opciones:
- Todo desde que se instaló Logwatch.
- Los diarios de hoy.
- Los registros de ayer y de ayer.
De forma predeterminada, el Rango se establece en ayer.
Desplácese hacia abajo sólo unas pocas líneas más para establecer la opción Detalle. Esto determinará cuán detallados son sus registros. Si necesita más información, configure Detalle = Alto. Para una cantidad moderada de información, establecer Detalle = Med. Para menos información (por defecto), deje Detalle = Bajo.
La siguiente opción es Servicio =. Con esto puede configurarlo para Todos los servicios o enumerarlos individualmente. Así que puedes ir con el valor por defecto (Servicio = Todos), o algo así:
Servicio = httpServicio = sshdServicio = sudo
Si no está seguro de esta opción, déjela en absoluto y luego configúrela según sea necesario.
VER: 10 maneras de minimizar las infecciones de malware sin archivos (PDF gratuito) (ConsejoTecnologico.com)
Uso
Ahora que tiene configurado Logwatch, comenzará a enviar el resumen diariamente. También se puede ejecutar la herramienta manualmente, así:
logwatch --detail Med --mailto ADDRESS --service all --range today
Donde ADDRESS es una dirección de correo electrónico remota o un usuario local. El informe será enviado y podrá revisar los detalles .
No tiene que preocuparse de ejecutar el comando diariamente, ya que Logwatch enviará automáticamente el correo electrónico que contiene los resultados del comando (según la configuración de logwatch.conf.
Dedique tiempo a la lectura
Por supuesto, deberías hacer tiempo para leer. Siempre y cuando incluya los registros en su lista de lecturas diarias (especialmente los generados por Logwatch), debe estar listo para comenzar. Sus sistemas Linux (y su empresa) se lo agradecerán.
Boletín informativo de consejotecnologico.com
Refuerce las defensas de seguridad de TI de su organización manteniéndose al día de las últimas noticias, soluciones y mejores prácticas en materia de ciberseguridad. Entregado los martes y jueves