Systeme und Netzwerk überwachen

Linux-Sicherheit - Angriffe entdecken

Logfiles überwachen

Grundsätzlich sind folgende Logfiles, die sich bei Debian-basierenden Systemen unter ./var/log/ befinden, wichtig bei der Suche nach Angriffen:

  • messages

  • user.log

  • kern.log

  • auth.log

  • syslog

Besonders in auth.log werden Angriffsversuche häufig dokumentiert, da dort beispielsweise SSH oder Telnet ihre Aktionen protokollieren.

Zum Betrachten der Logfiles kann man das Terminal zur Hilfe nehmen und die Dateien mit vi oder less durchsehen. Bequemer geht es als root mit einem Dateimanager wie etwa Nautilus. Darin kann man jedes Logfile im grafischen Editor wie etwa gedit betrachten.

less /var/log/messages/
Nov 22 14:10:07 powermashine kernel: Kernel logging (proc) stopped.
Nov 22 14:48:41 powermashine kernel: imklog 4.2.0, log source = /var/run/rsyslog/kmsg started.
Nov 22 14:48:41 powermashine rsyslogd: [origin software="rsyslogd" swVersion="4.2.0" x-pid="1250" x-info="http://www.rsyslog.com"] (re)start
Nov 22 14:48:41 powermashine rsyslogd: rsyslogd's groupid changed to 102
Nov 22 14:48:42 powermashine rsyslogd: rsyslogd's userid changed to 101
Nov 22 14:48:42 powermashine kernel: [ 0.000000] Initializing cgroup subsys cpuset
Nov 22 14:48:42 powermashine kernel: [ 0.000000] Initializing cgroup subsys cpu
Nov 22 14:48:42 powermashine kernel: [ 0.000000] Linux version 2.6.31-15-generic (buildd@yellow) (gcc version 4.4.1 (Ubuntu 4.4.1-4ubuntu8) ) #50-Ubuntu SMP Tue Nov 10 14:53:52 UTC 2009 (Ubuntu 2.6.31-15.50-generic)
Nov 22 14:48:42 powermashine kernel: [ 0.000000] Command line: root=/dev/mapper/powermashine-root ro quiet splash
Nov 22 14:48:42 powermashine kernel: [ 0.000000] KERNEL supported cpus:
Nov 22 14:48:42 powermashine kernel: [ 0.000000] Intel GenuineIntel
Nov 22 14:48:42 powermashine kernel: [ 0.000000] AMD AuthenticAMD
Nov 22 14:48:42 powermashine kernel: [ 0.000000] Centaur CentaurHauls
Nov 22 14:48:42 powermashine kernel: [ 0.000000] BIOS-provided physical RAM map:

Es besteht auch die Möglichkeit, sich laufend veränderliche Logfiles zur ständigen Überwachung mit „tail“ auf dem Terminal anzeigen zu lassen. Weiterhin nützlich ist ess, wenn man „grep“ und „head“ zur Auswertung hinzu zieht.

Mögliche Anwendungen:

  • tail -f /var/log/kern.log – lässt in Echtzeit das Logfile mitlaufen und zeigt es an

  • grep "2 .*eth1*" /var/log/kern.log – Filtert Einträge der Schnittstelle eth1 nach allem, was am 2. eines Monats passiert ist

  • tail -n30 /var/log/kern.log – Anzeige der letzten 30 Zeilen des Logfiles kern.log

  • head -n30 /var/log/kern.log – Zeigt die ersten 30 Einträge im kern.log