Eccoci qui per la seconda parte della guida sulla sicurezza dei sistemi operativi debian like.
In questa parte vi descriverò come grazie all'utilizzo dei file di log sia possibile controllare tutto ciò che accade all'interno del nostro sistema.
Purtroppo sono pochi gli utenti desktop che conoscono questi amici poco apprezzati ed ancor meno coloro che sanno come utilizzarli.
Vediamo quali sono, come visualizzarli e, eventualmente, come configurare il sistema per il loro utilizzo ottimale.
2.0 Cenni generali
In un log i messaggi vengono organizzati in righe orizzontali e, solitamente, sono strutturati in questo modo:
Data ed Ora ( A volte in formato Unix ) + Hostname + processo: Messaggio
La prima cosa da fare per visualizzare un log ( Che sicuramente avrà permessi limitati verso utenti non root ) è ottenere i privilegi di admin.
Per fare ciò apriamo il nostro caro terminale e digitiamo "su" ( Per ottenere i diritti di admin ) e vediamo un pò cosa ci offre la cartella var/log con il comando "ls /var/log".
Ecco i file che dovreste trovare:
Kern.log: Questo file di log mostra tutti gli avvisi provenienti dal kernel del sistema operativo e può esservi utile in caso di kernel panic.
Messages: Messaggi generali delle applicazioni/sistema operativo.
Daemon.log: Messaggi restituiti dai demoni di boot. Utile per risolvere eventuali crash.
Debug: Log che raccoglie i messaggi di debug delle applicazioni.
Auth.log: Log che mostra le richieste di autorizzazioni delle applicazioni. Utile per scovare processi non richiesti.
Syslog.log: Log del demone rsyslog. Qui vengono riuniti i messaggi delle applicazioni che decidono di indirizzare i propri log verso quel demone.
Xorg.0.log(.old): Questo è invece il log del server X. Utile per correggere gli errori dell'interfaccia grafica.
/audit/audit.log: Log del demone di auditing più famoso delle distro linux. Ne parleremo approfonditamente in seguito.
Dpkg.log: Log del programma dpkg per l'installazione di software.
2.1 Audit
Questo programma tiene traccia dei cambiamenti a file e cartelle e può essere configurato anche tramite interfaccia grafica, al contrario del 90 % dei demoni di logging che vi sto per mostrare.
Ho parlato abbondantemente di questo demone qui:
http://onlypc.myblog.it/archive/2011/06/24...-od-una-ca.html2.2 (R)Syslog
Imparando a configurare questo demone avremo in pugno tutto il sistema.
Apriamo da terminale ( sempre come admin ) tramite l'editor "nano" il file di configurazione /etc/rsyslog.conf ( O semplicemente /etc/syslog.conf ) ed osserviamo come si presenta.
Possiamo saltare la sezione MODULES e concentrarci su RULES e GLOBAL DIRECTIVES.
In quest'ultima possiamo notare le variabili $FileOwner e $FileGroup che indicano in modo abbastanza chiaro rispettivamente l'utente possessore dei log ed il suo gruppo. ATTENZIONE: Modificatele con cautela e con consapevolezza.
Nella sezione RULES possiamo invece modificare le stringhe relative al percorso dei file di log o addirittura crearne di nuovi a seconda del livello di errore.
Ad esempio, se vogliamo che sia un log diverso a contenere i warn del kernel possiamo aggiungere una riga simile:
kern.warning -/var/log/kern.err.log.
I livelli di avviso in cui possiamo suddividere i log sono 8 in ordine di gravità: debug, info, notice, warning, error, crit, alert, emerg
I commenti nel file possono esservi molto utili.
2.3 Utility che ci potrebbero aiutare
Ecco un piccolo ma dettagliato elenco di applicazioni che ci potrebbero aiutare nel logging.
Ksystemlog: Utility KDE per visualizzare graficamente tutti i file di log più importanti. ( Compresa nel pacchetto KDE )
Gnome-system-log: Utility analoga alla precedente ma con un'interfaccia più spartana scritta in GTK2. ( Compresa nel pacchetto Gnome ma installabile anche a parte )
Bootchartd: Utility che mostra in un grafico le prestazioni di boot. Meriterebbe un discorso a parte ma non sarebbe inerente alla sicurezza.
Dmesg: Mostra i log del kernel. Per eseguirla è necessario impartire il comando "dmesg" da root.
Tutte queste utility possono essere trovate nei repository della vostra distro, mentre dmesg, una delle più famose in ambito unix, la trovate già installata e funzionante.
Alla prossima parte con: Anonimità sul web. Non solo tor.
Read more: Only PC
http://onlypc.myblog.it/#ixzz1WbcMyd26
