Assine a Lista Dicas-L
Receba diariamente por email as dicas
de informática publicadas neste site
Para se descadastrar, clique aqui.
Monitoração da Segurança
Colaboração: Rubens Queiroz de Almeida
Data de Publicação: 07 de Maio de 1997
Uma das tarefas do administrador de sistemas é a monitoração da segurança. Esta tarefa envolve o exame de arquivos de log para detectar acessos não autorizados, bem como a monitoração de falhas de segurança.
Nos parágrafos que se seguem, os nomes e localização dos arquivos mencionados referem-se a sistemas SunOS. A localização e mesmo o nome dos comandos pode variar de sistema para sistema. Os conceitos apresentados todavia se aplicam a qualquer sistema Unix.
As contas devem ser monitoradas periodicamente de modo a verificar dois eventos: usuários que logam quando não devem (por exemplo, tarde da noite ou quando estão de férias) e usuários executando comandos que normalmente não deveriam usar.
O arquivo /usr/adm/lastlog registra o login mais recente de cada usuário do sistema. A mensagem impressa no terminal a cada vez que um usuário loga
Last login: Sat Mar 10 10:50:48 from ccvax.unicamp.br
usa a data armazenada no arquivo lastlog. A data do último login relatada pelo comando finger também usa estes dados. Os usuários devem ser alertados a inspecionar esta data para certificarem-se de que não foi efetuado nenhum acesso não autorizado às suas contas e, caso positivo, a alertar o administrador de sistemas para o ocorrido.
O arquivo /etc/utmp é usado para registrar quem está logado no sistema no momento. Este arquivo pode ser exibido através do comando who:
% who edmar pts/29 Oct 02 08:59 (uninetgw.unicamp) ruben pts/31 Oct 02 10:30 (scon.cmp.unicamp) lilliam pts/32 Oct 02 14:30 (naomi.cmp.unicam) dgrhint pts/34 Oct 02 14:29 (dgrh-gw.unicamp.)
Para cada usuário é exibido o userid, o terminal sendo utilizado e o computador remoto(se o login foi efetuado via rede). O arquivo /usr/adm/wtmp registra as datas de login e logout de cada usuário. Este arquivo também pode ser examinado através do comando who:
% who /usr/adm/wtmp pinheiro pts/8 Oct 02 14:34 (scon.cmp.unicamp) mvs pts/17 Oct 02 14:35 (143.106.44.68) rosana pts/17 Oct 02 14:37 (ccts13.unicamp.b) enavega pts/41 Oct 02 14:39 (uninetgw.unicamp) eduardof ftp5164 Oct 02 14:39 (recife.cmp.unica) ``` ... Uma linha que contem o userid indica a hora em que o usuário logou; uma linha que não contem o userid indica a hora em que o usuário desconectou-se do sistema. Infelizmente a saída deste comando é raramente exibida como acima. Se vários usuários logaram ao mesmo tempo os tempos de login e logout ficam misturados e precisam ser ajustados manualmente. O arquivo wtmp pode também ser examinado manualmente através do comando last. Este comando ordena as entradas no arquivo, casando os tempos de login e logout. Se invocado sem argumentos, o comando last exibe toda a informação contida no arquivo. O arquivo acct registra a execução de cada comando no sistema, quem o executou, quando e quanto tempo gastou. Esta informação é registrada cada vez que um comando é completado. O arquivo acct pode ser examinado através do comando lastcomm. Se invocado sem argumentos toda a informação do arquivo é exibida. O comando lastcomm aceita como argumentos o nome de um comando, de um usuário ou de um terminal. A monitoração da segurança da rede é mais difícil, porque existem inúmeros mecanismos que um invasor pode utilizar para penetrar no sistema. Existem entretanto alguns programas que auxiliam nesta tarefa. O syslog é um mecanismo que permite que qualquer comando registre mensagens de erro e informativas na console do sistema e/ou em um arquivo. Normalmente mensagens de erro são gravadas no arquivo /usr/adm/messages juntamente com a data e hora em que foram enviadas pelo programa que as gerou. De particular interesse são as mensagens geradas pelos programas login e su. Sempre que alguém loga como root o comando login registra esta informação. Normalmente, logar diretamente como root deve ser desencorajado, visto ser difícil identificar quem está realmente utilizando a conta. Uma vez que esta possibilidade tenha sido desabilitada identificar violações de segurança se resume a analisar o arquivo de mensagens procurando as mensagens geradas pelo comando su. Outro tipo de evento a ser monitorado são pessoas tentando insistentemente logar em determinada conta e não conseguindo. Após três tentativas o programa login não mais permite que a pessoa tente novamente. O programa su registra o sucesso ou o fracasso da operação. Estas mensagens podem ser usadas para verificar se os usuários estão compartilhando suas senhas bem como identificar um invasor que conseguiu uma conta e está tentando utilizar outras. O comando showmount pode ser usado em um servidor NFS para exibir o nome de todas as máquinas que estão montando algum de seus diretórios. Se invocado sem opções o programa simplesmente exibe uma lista de todos os computadores. Com as opções -a e -d a saída é mais útil. A opção -a faz com que o comando showmount liste todos as combinações de computadores e diretórios:
apoio.cmp.unicamp.br:/pub/pub6/linux/slackware/slakware aracati.cmp.unicamp.br:/home aracati.cmp.unicamp.br:/home/cesar atibaia.dcc.unicamp.br:/pub/pmarumbi.dcc.unicamp.br:/pub/pub3 atlanta.unicamp.br:/usr/local cravo.apoio.cmp.unicamp.br:/usr/local escher.dcc.unicamp.br:/pub/pub3
/amanda /home /home/cesar /pub/pmarumbi.dcc.unicamp.br:/pub/pub3 /pub/pub3 /pub/pub6 /pub/pub6/linux/slackware/slakware /usr/local /usr/local/bin
Será exibida uma linha para cada diretório montado por uma máquina. A opção -d faz com que seja exibida uma lista de todos os diretórios que estão montados por alguma máquina. Deve ser verificado que apenas máquinas locais montem os diretórios exportados e que apenas diretórios normais estejam sendo montados.
Referências Adicionais
Referências adicionais sobre os assuntos abordados neste site podem ser encontradas em nossa Bibliografia.
