4.

3 Administración de bitácoras
La seguridad y administración de un sistema operativo tiene en las bitácoras un
gran aliado, ya que en ellas se registran los eventos que ocurren el sistema
operativo, es decir eventos que el administrador pasaría inadvertidos sin el
respaldo de las bitácoras.

1. Elementos de administración

Para una buena administración de bitácoras es necesario conocer 3 cosas:

1. Conocer el propósito de cada bitácora.

2. Conocer el formato en el que se presenta la información.

3. Conocer los ataques propios de cada servicio.

Las bitácoras en el caso de Linux están dentro del directorio /var/log/, para otros
sistemas Unix se encuentran en /var/adm/, el propósito de las bitácoras
encontradas mas comúnmente es se muestra a continuación:

SYSLOG

El demonio syslogd (Syslog Daemon) se lanza automáticamente al arrancar un

sistema Unix, y es el encargado de guardar informes sobre el funcionamiento de la
máquina. Recibe mensajes de las diferentes partes del sistema (Kernel,
programas...) y los envía y/o almacena en diferentes localizaciones, tanto locales
como remotas, siguiendo un criterio definido en el fichero de configuración
/etc/syslog.conf, donde especificamos las reglas a seguir para gestionar el
almacenamiento de mensajes del sistema.

Cada programa puede generar un mensaje de syslog, el cual consta de 4 partes:

Nombre del programa

Facility (servicio o facilidad)
Prioridad
Mensaje de bitácora.

Algunas bitácoras básicas son:

messages

Este archivo contiene bastante información, por lo que debemos buscar sucesos
inusuales, aquí podemos ver todos los mensajes que el sistema mando a la
consola, por ejemplo, cuando el usuario hace el login, los TCP_WRAPPERS
mandan aquí la información, el cortafuegos de paquetes IP también la manda
aquí, etc.

xferlog

Si el sistema comprometido tiene servicio FTP, este archivo contiene el loggeo de

todos los procesos del FTP. Podemos examinar que tipo de herramientas han
subido y que archivos han bajado de nuestro servidor.

wtmp

Cada vez que un usuario entra al servidor, sale del mismo, la máquina resetea,
este archivo es modificado. Este archivo al igual que el anterior esta en binario por
lo que tendremos que usar alguna herramienta especial para ver el contenido de
este archivo.

secure

Algunos sistemas Unix loggean mensajes al archivo secure, ya que utilizan algún
software de seguridad para ello, como el TCP Wrapper.

lastlog

Registra los últimos logeos al sistema. Es posible mirar el contenido de este

archivo mediante el comando lastlog.

maillog

Guarda por lo general entradas de cada conexión pop/imap (nombre de usuario y

logout), y el encabezamiento de cada uno de los correos que entran o salen del
sistema (de quien, a quien, msgid, estado, etc.). Es posible ver su contenido
mediante el comando more maillog.

access_log

Para el caso del demonio httpd, las bitácoras se guardan en access_log, un

registro típico de esta bitácora contiene: Nombre de la computadora remota, login,
nombre de usuario, fecha y hora, comandos que ejecutó (ej. get), número con el
código de estatus y número de bytes que transfirió.

dmesg

Imprime los mensajes desplegados por el "kernel" al inicio.