Pages : 1
#1 Le 25/11/2011, à 13:51
- Arnold59
[Linux] Sécurité : Lire les logs et les nettoyer ??
Bonjour,
Soucieux de la sécurité de mon système Linux (Ubuntu 11.10), je souhaites lire & faire un peu de ménage dans les logs, mais vu la quantité de logs difficile de s'y retrouver :
/root@toto-laptop:/var/log# ls
account diskfree.log.7.gz messages
aide diskfree.log.8.gz messages.1
alternatives.log diskfree.log.9.gz messages.2.gz
alternatives.log.1 dist-upgrade messages.3.gz
alternatives.log.2.gz dmesg messages.4.gz
alternatives.log.3.gz dmesg.0 news
alternatives.log.4.gz dmesg.1.gz pm-powersave.log
alternatives.log.5.gz dmesg.2.gz pm-powersave.log.1
alternatives.log.6.gz dmesg.3.gz pm-powersave.log.2.gz
alternatives.log.7.gz dmesg.4.gz pm-powersave.log.3.gz
alternatives.log.8.gz dpkg.log pm-powersave.log.4.gz
apparmor dpkg.log.1 pm-suspend.log
apt dpkg.log.10.gz pm-suspend.log.1
aptitude dpkg.log.11.gz pm-suspend.log.2.gz
aptitude.1.gz dpkg.log.12.gz pm-suspend.log.3.gz
aptitude.2.gz dpkg.log.2.gz pm-suspend.log.4.gz
auth.log dpkg.log.3.gz popularity-contest
auth.log.1 dpkg.log.4.gz popularity-contest.0
auth.log.2.gz dpkg.log.5.gz popularity-contest.1.gz
auth.log.3.gz dpkg.log.6.gz popularity-contest.2.gz
auth.log.4.gz dpkg.log.7.gz popularity-contest.3.gz
Bastille dpkg.log.8.gz popularity-contest.4.gz
boot dpkg.log.9.gz popularity-contest.5.gz
boot.log faillog popularity-contest.6.gz
bootstrap.log fontconfig.log psad
btmp fsck pycentral.log
btmp.1 gdm samba
btmp.1.gz installer setuid
checkbox.log jockey.log speech-dispatcher
checkbox.log.1 jockey.log.1 syslog
checksecurity jockey.log.10.gz syslog.1
checksecurity.log jockey.log.2.gz syslog.2.gz
checksecurity.log.10.gz jockey.log.3.gz syslog.3.gz
checksecurity.log.1.gz jockey.log.4.gz syslog.4.gz
checksecurity.log.2.gz jockey.log.5.gz syslog.5.gz
checksecurity.log.3.gz jockey.log.6.gz syslog.6.gz
checksecurity.log.4.gz jockey.log.7.gz syslog.7.gz
checksecurity.log.5.gz jockey.log.8.gz udev
checksecurity.log.6.gz jockey.log.9.gz ufw.log
checksecurity.log.7.gz kern.log unattended-upgrades
checksecurity.log.8.gz kern.log.1 user.log
checksecurity.log.9.gz kern.log.2.gz user.log.1
clamav kern.log.3.gz user.log.2.gz
ConsoleKit kern.log.4.gz user.log.3.gz
cups lastlog user.log.4.gz
daemon.log lightdm wtmp
daemon.log.1 lpr.log wtmp.1
daemon.log.2.gz lpr.log.1 wtmp.1.gz
daemon.log.3.gz lpr.log.2.gz wtmp.report
daemon.log.4.gz lpr.log.3.gz Xorg.0.log
debug lpr.log.4.gz Xorg.0.log.old
debug.1 mail.err Xorg.1.log
debug.2.gz mail.err.1 Xorg.1.log.old
debug.3.gz mail.err.2.gz Xorg.2.log
debug.4.gz mail.err.3.gz Xorg.2.log.old
diskfree.log mail.err.4.gz Xorg.3.log
diskfree.log.10.gz mail.info Xorg.3.log.old
diskfree.log.1.gz mail.log Xorg.4.log
diskfree.log.2.gz mail.log.1 Xorg.4.log.old
diskfree.log.3.gz mail.log.2.gz Xorg.5.log
diskfree.log.4.gz mail.log.3.gz Xorg.5.log.old
diskfree.log.5.gz mail.log.4.gz
diskfree.log.6.gz mail.warn
Je sais que les noms a extension .old sont anciens & .gz sont des fichiers compressés
Comment procède-t-on pour obtenir un système performant ?
D'avance merci.
Hors ligne
#2 Le 25/11/2011, à 14:32
- Hoper
Re : [Linux] Sécurité : Lire les logs et les nettoyer ??
J'ai l'impression que tu mélange pas mal de choses....
Quel rapport voit tu entre ces trois notions par exemple :
- Sécurité
- Performance
- Fichiers de logs
Parce que la, comme ça, je n'en voit strictement aucun.
Mes tutos et coups de gueule :
http://hoper.dnsalias.net/atdc/
Mastodon: @hoper@framapiaf.org
Hors ligne
#3 Le 25/11/2011, à 14:54
- Arnold59
Re : [Linux] Sécurité : Lire les logs et les nettoyer ??
Bonjour,
Les logs sont des indicateurs et on voit paraitre les événements cela peut être exploité pour sécuriser au mieux le système.
Effectivement je me suis mêler les pinceaux :
- analyse de logs et actions en fonctions des messages
- configuration de checksecurity, clamav, firestarter ...
- je mets à jour régulièrement Linux Ubuntu
Je me perds dans les logs ?
Hors ligne
#4 Le 25/11/2011, à 15:10
- Hoper
Re : [Linux] Sécurité : Lire les logs et les nettoyer ??
Les logs sont des indicateurs et on voit paraitre les événements cela peut être exploité pour sécuriser au mieux le système.
La, d'accord. Mais on ne parle alors ici que de logs très spécifique, soit liés à des logiciels de sécurités, soit liés au mécanisme d'authentification de l'OS.
Dans les deux cas, ces logs ne vont rien t'apprendre de plus que ce qu'une commande comme "last" par exemple va te fournir. (qui s'est connecté et quand).
Bref, tant qu'il n'y a pas de soucis, la "surveillance" des logs eux même n'a pas grand intérêts. (encore une fois sauf logs spécifiques que tu pourrai toi même mettre en place, et lié à une application précise, genre tripwire ou autre).
- analyse de logs et actions en fonctions des messages
voir ce que j'écris juste avant
- configuration de checksecurity, clamav, firestarter ...
Plein de trucs qui n'ont rien à voir et qui sont globalement totalement inutiles sur linux.
- je mets à jour régulièrement Linux Ubuntu
Ca c'est de loin le truc le plus simple et le plus efficace que tu puisse faire oui.
Je me perds dans les logs ?
Je pense oui. Les logs "de base" ne t'apprendront rien. C'est à toi de mettre en place une supervision précise de ce que tu souhaite surveiller, et donc de créer tes propres logs. Logs que tu pourra alors analyser ensuite, manuellement ou automatiquement.
Mais tu dois pas bien comprendre que les logs, ce n'est pas miraculeux. Tu ne verra jamais apparaitre dans un fichier de log "Une attaque par injection sql vient d’être faite sur le serveur apache". C'est plutôt à toi de vérifier si des modifications sont apportés à ton système, et si ces modifications sont normales ou pas. Après, si quelque chose te semble vraiment anormal, la les logs peuvent etre utile pour essayer de retrouver qui à fait quoi et quand. Mais sinon...
PS : Je corrige un truc que j'ai écrit plus haut. Il y a évidement un rapport entre fichiers de logs et performance. Car si tu te met à loguer vraiment énormément d'informations, les performances vont diminuer, c'est évident. Mais bon, ce ne sera jamais le cas avec le paramétrage par défaut sur un serveur perso.
Mes tutos et coups de gueule :
http://hoper.dnsalias.net/atdc/
Mastodon: @hoper@framapiaf.org
Hors ligne
Pages : 1