Eu observei muitos logs e parece que alguns deles são mais relevantes para fins de monitoramento contra hackers. Os que eu encontrei são:
-auth.log
-mail.log: if i'm running a mail server, will this be important?
-btmp
-secure
-faillog
-apache2/access.log
-mysql.log & mysql.err
Nota: Estou executando o LAMP e usando o phpMyAdmin para acessar o banco de dados.
Existe alguma coisa que é inútil nessa lista? Qualquer coisa que eu deveria incluir?
Além disso, não consigo abrir esses arquivos de log que não possuem extensões ".log". Eu acho que eu deveria executá-los, mas mesmo o usuário não tem permissões de execução sobre eles e quando eu chmod 700, nada acontece quando eu os executo. Como devo fazer isso?
Obrigado antecipadamente
Além disso, isso não é suficiente para proteger seu sistema. Usar o IPS (como o SELinux) e um HIDS (como ajudante, samhain ou tripwire) ajudará mais do que isso.
Se o seu aplicativo PHP tiver problemas de injeção de SQL, será necessário revisar seu código, pois essas medidas também não ajudarão.
O que é colocado em cada log é determinado por /etc/rsyslog.conf (para debian squeeze - diferente se você estiver usando um daemon syslog diferente).
auth.log geralmente mostrará tentativas de invasão de senhas, monitorei as tentativas de ssh. apache2 / error.log lhe dará erros de http.
mail.log é importante - usamos sendmail / dovecot e sasl, sasl e dovecot aparecem aqui.
Eu recomendaria ver o pacote fail2ban. Se você instalá-lo para a sua distribuição, ele deve ter algumas das configurações já ajustadas para o que você tem. Ele procura por falhas e erros de login, pode ser configurado para enviar por e-mail tentativas de invasão, bem como bloquear automaticamente endereços IP e portas ofensivos.
Tags security monitoring linux