Polskie Forum Użytkowników Debiana

Chciał bym założyć post w którym zebrali byśmy wiedzę na temat wykrywania włamań na serwer, tzn. jak sprawdzać czy włamanie nastąpiło czy nie, które logi przeglądać i na co zwracać uwagę.

Zaniepokoił mnie wczoraj pewien fakt. Po zalogowaniu sie na serwer i wydaniu komendy last ujrzałem tylko logowanie z bieżącego miesiąca. Wydaje mi się że powinno wyświetlić wszystkie logowania.

Może się po prostu miesiąc zmienił i od pierwszego nikt się nie logował
Sprawdź poprzednie miesiące.

A co do samego tematu to dobry jest, tylko od czego tu zacząć ...

Może logrotate zadziałał po prostu i zarchiwizował starą część logu.

jestem początkujący więc nie wiele wiem na ten temat,lecz chciał bym wspólnie stworzyć elementarz bezpieczeństwa.

Jak odtworzyć zarchiwizowane info o logowaniach ?

jest jeszcze snort do logowania lepiej uzywac syslog-ng

joker pisze:Jak odtworzyć zarchiwizowane info o logowaniach ?

Zobacz co masz w /var/log

Przeczytaj mam last
I raczej zobaczysz to co chciałeś za poprzedni miesiąc.

a ja mam takie pytanie: jak spreparować wpis do iptables by logował pakiety ?

ShinnRa pisze:a ja mam takie pytanie: jak spreparować wpis do iptables by logował pakiety ?

np tak:

przykleję się z pytaniem:
Jak czytać logi? Na co zwracać uwagę? i na które z logów?
Chodzi mi o to, że wszędzie znajduje opisy jak konfigurować zapisywanie do logów, automatyczne sprawdzania itp. ale nie umiem znaleźć żadnego mana, który mówiłby co w tych logach tak naprawdę zapisywać, ani tym bardziej jak to czytać, jak to zrozumieć.
Może źle szukam, cóż - dopiero raczkuje w sieci, naprowadźcie mnie proszę.

Dominik pisze:Jak czytać logi? Na co zwracać uwagę? i na które z logów?

Może zamiast czytać tysiące logów zainstaluj sobie logcheck, będziesz dostawał co godzine raport z "nietypowych" zachowań serwera, a potem interpretuj co tam jest napisane.