On Fri, Jan 04, 2002 at 04:56:03PM -0200, Giuliano Cardozo Medalha wrote: > Pessoal > > Estou utilizando o ipchains (dentre sua finalidade principal) para gerar > logs de invasao. > > O problema e que nao estou encontrando uma maneira de configurar o nome do > arquivo do log gerado, para /var/log/invasoes por exemplo !!! > > > Voces sabem como fazer isso ? > > Obrigado > > Giuliano
Oi Giuliano, No caso do ipchains, é o kernel que gera o log, e não o próprio ipchains. As configurações do log são feitas em /etc/syslog.conf "man syslog", "man syslog.conf", "man syslogd" podem ajudar. Um método de ler apenas os logs do ipchains é: cat /var/log/syslog.0 /var/log/syslog | grep "kernel: Packet log:" Somente uma questão que você deve tomar cuidado... se você optar por logar muitas coisas, os logs podem ficar grandes demais e atrapalhar o uso normal da máquina. Ex: se eu descubro que você está logando pacotes de tentativas ao uso do telnet (-s 0/0 -d suamaquina 23 -p tcp -l -y) então posso fazer um programa que gera + ou - 100 pacotes destes por segundo para sua máquina... isso vai gerar aprox 50MB de logs por hora no seu servidor. Eu posso derrubar o seu servidor a partição /var/log estiver junto com a partição principal simplesmente pois ele ficou com o hd cheio... --- citado de [1] --- Chapter 1 Introduction One of the hardest things about writing security documents is that every case is unique. Two things you have to pay attention to are the threat environment and the security needs of the individual site, host, or network. For instance, the security needs of a home user are completely different from a network in a bank. While the primary threat a home user needs to face is the script kiddie type of cracker, a bank network has to worry about directed attacks. Additionally, the bank has to protect their customer's data with arithmetic precision. In short, every user has to consider the tradeoff between usability and security/paranoia. Note that this HOWTO only covers issues relating to software. The best software in the world can't protect you if someone can physically access the machine. You can place it under your desk, or you can place it in a hardened bunker with an army in front of it. Nevertheless the desktop computer can be much more secure (from a software point of view) than a physically protected one if the desktop is configured properly and the software on the protected machine is full of security holes. Obviously, you must consider both issues. --- fim da citação --- Sobre logs de invasão, veja também outras ferramentas NIDS, IDS ([Network] Intrusion Detection System) como o "snort". A ref [1] fala do "snort" também. E o mais importante: de nada adianta logar o que acontece se ninguém vai ler isso frequentemente... adote uma política de envio automatico dos logs para e-mails e assegure-se de que as pessoas vão ler :-) Espero que esta resposta ajude :-) Abraços, Pedro Duas referencias que podem ajudar: [1] http://www.debian.org/doc/admin-manuals#securing [2] http://helio.loureiro.eng.br/firewall/