linux user group brescia
immagine del castello

Archivio della mailing list

R: R: Archivio di /var/log/wtmp

Luca Coianiz lcoianiz a w3.to
Lun 30 Ott 2000 23:41:22 UTC 
From: Mav <mcbain a tiscalinet.it>
> Luca Coianiz wrote:
>>  Ovviamente parli di intrusi che hanno aperto un account nel sistema,
>> altrimenti come li riconosco ? dal fatto che c'è attività quando io non
sono
>> loggato ?
> li conosci dal fatto che magari inizi a trovarti binari modificati,
> shell laggata causa flood uscenti (o entranti, dato che come diceva
> giuzzi spesso l'intruso installa un bnc per fare il fighetto su irc con
> un host diverso...)

 Ma davvero un intruso riesce a fare tutti quei danni nei pochi momenti in
cui sono connesso alla rete ?
 O stai parlando di sistemi connessi in modo permanente (servers, ecc.).

>>  L'unica cosa che mi incuriosisce è il motivo per cui nel log non viene
>> registrata la vera attività di ogni utente.
>>  Qualcosa del tipo:
> snip snip
>>  Dici che è possibile attivare questo genere di livello di logging sul
>> sistema ? quanto potrebbe pesare ? (io penso abbastanza poco: 1-2%)
> bè secondo me non è tanto l'impegno della cpu, quanto il fatto che ki ha
> voglia di leggersi tutto quel pakko di roba ogni poco?

 Infatti in genere nessuno lo fa (nemmeno sui sistemi dove viene generata
davvero): diciamo che, come ricordava Maurizio, certi dati è interessante
averli quando vai a scavare un pò più a fondo del solito: adesso se guardo
/var/log/messages o wtmp non è che ci trovo cose che mi possano dire molto
(vero anche che non sono molto esperto in materia di security), mentre se
vedo dell'attività esplicita le cose si semplificano di parecchio, almeno in
prima battuta.

> inoltre se l'utente usa la bash c'è l'history dei cmd, che se messo in
> append only non potrà essere rimosso dall'utente stesso, in questo modo
> hai cmq una visione di quello che l'utente +o- fa

 Già, ma se l'intruso è esperto (come dicevano anche gli altri) e riesce a
nascondere le proprie tracce... non credo che l'history della Bash mi possa
aiutare.

 L'ideale sarebbe avere un log di sistema gestito dal kernel (e scusate se
dico troppe cazzate: magari c'è un modo più efficente per farlo, ma non lo
conosco), scrivibile solo da lui (e nemmeno da Root) e che viene archiviato
in formato compresso (questo leggibile solo da Root) come accade per il
wtmp.

        Bye
        Sky

Maggiori informazioni sulla lista Lug