Auditoria en Linux

Quisiera saber cuales son los archivos epecificos que Linux RedHat utiliza para registrar la información de logueo, como accesos-mail-etc...
Y si hay alguna herramienta o que comandos se pueden utilizar para poder monitorear periódica y adecuadamente estos archivos; y así saber quienes acceden al sistema, que hacen, etc.

1 Respuesta

Respuesta
1
echale un vistazo a /etc/syslog.conf.
Ahí tienes la configuración del servicio de log del sistema. En ese fichero veras los a donde se envía la información de cada categoría. Los ficheros de salida son de tipo texto y se puede leer con el less o more.
Para más información puedes mirar man syslog. Conf. Ahí te detalla el formato del fichero.
Si lo que quieres es una búsqueda periódica de accesos, puedes mirar el cron (man cron) para lanzar comandos periódicamente que realicen la búsqueda en los ficheros.
Gracias por la ayuda...
Pero ademas quisiera saber que comandos se utilizan para ver algunos ficheros log que tienen formato no textual, pues creo que estos se ven con comandos especiales, y quisiera saber cuales son... y específicamente para RedHat 7.2 o por lo menos RedHat 7.X
Gracias por tu tiempo.
No se exactamente a que ficheros te refieres. Aunque supongo que entre ellos pueden estar el faillog, así como el wtmp/utmp. Estos ficheros registran información sobre sesiones de usuarios. No te preocupes mucho por lo de específicamente una distribución, ya que salvo excepciones, cambios en el nombre o localización o nomenclatura de los ficheros, esto suele ser relativamente standard.
- Faillog. Este fichero contiene información sobre los intentos de inicio de sesión que no han finalizado con éxito, generalmente por errores de autenticación.
- utmp/wtmp : (generalmente son lo mismo). Estos (o este) contienen información sobre los usuarios que han iniciado sesión en el sistema. Gracias a ellos es posible controlar que usuarios han iniciado sesión, y cuando, así como comprobar terminal y ciertos datos de interés. Se conoce también a través de ellos sesiones que ya se han cerrado.
Para poder utilizar estos ficheros se pueden utilizar una serie de programas que hay en el sistema. Te comento un par de los más comunes :
- Faillog : Manipula el fichero del mismo nombre, permitiéndote revisar el contenido del fichero.
- Last : Te lista las ultimas entradas del usuario pasado como parámetro.
- Who : Quien tiene una sesión abierta en tu sistema.
Para mayor información sobre ellos, te recomiendo que revises las páginas de manual de faillog/utmp/wtmp, ya que además de darte información más detallada (puede que hasta en español :) ) te ofrecerán ciertas referencias cruzadas a otros programas, ficheros, o incluso funciones de la biblioteca C que pueden ser de tu interés.
Espero haberte aclarado un poco más :). De todos modos, si el fichero en cuestión no se encuentra aquí, o tienes alguna duda más no dudes en preguntar.

Añade tu respuesta

Haz clic para o

Más respuestas relacionadas