jueves, febrero 21, 2008

Log's de Ubuntu o como nos dice lo que le pasa al sistema

En Linux la información de lo que le pasa al sistema nos llega a través de unos ficheros se encuentran en el directorio /var/log. Hay un interesante artículo en Linuteca en el que se describen éstos y que yo ahora y aquí pego:

"Para mantener seguro tu ordenador, debes conocer muy bien los logs del sistema, saber interpretarlos e incluso algunos debes protegerlos.
A continuación explicaré los más importantes:
/var/log/kern.log: Mensajes del núcleo.
/var/log/syslog: Registro de mensajes relativos a la seguridad del sistema.
/var/log/debug: Información de depuración de los programas.
/var/log/messages: Información general que nos proporciona el sistema.
/var/log/user.log: Información de usuario.
/var/log/Xorg.0.log: Información sobre el entorno gráfico.
/var/log/auth.log: Conexiones al sistema incluídos los intententos fallidos.

Para ver estos logs, podemos usar cualquier procesador de textos o incluso comandos como cat, less o more. Ésto puede convertirse en problema ya que si no hemos cambiado los permisos por defecto a estos archivos, cualquier usuario que se conecte a nuestra máquina tendrá acceso a ellos y por lo tanto conseguirá información sensible del sistema.

¿De que manera un usuario puede aprovechar los logs para realizar un ataque?

Muy sencillo, por ejemplo el archivo /var/log/auth.log contiene los usuarios que han accedido al sistema y las conexiones fallidas, por lo tanto, si un usuario se equivoca y en vez de introducir el usuario para la conexión, introduce la contraseña por ejemplo “pass123″, esto queda almacenado en el archivo como que el usuario “pass123″ no pudo iniciar sesión. El usuario (por ejemplo “pepe”) al no poder acceder al sistema volverá a intentarlo, esta vez con éxito, y ahora la siguiente línea del archivo mostrará que el usuario “pepe” inició sesión con éxito.

Con éste despiste del usuario y con la falta de protección ofrecida por el administrador, nos hemos hecho con la cuenta de “pepe” con password “pass123″, con la que podremos lanzar ataques al sistema sin dejar rastro de nuestra presencia. ”

Éste es uno de muchos ejemplos en los que los logs pueden volverse en contra nuestra. ¿Conocéis algún otro caso interesante?


Fuente de esto aqui

1 comentario:

Anónimo dijo...

graciasssssssss