Episodio anterior
En el episodio anterior de la instrucción en serie, consideramos hacer manualmente un perfil de datos normal con Wireshark para nuestro software. Eso debería proteger nuestro sistema de illegitima datos y cree un entorno seguro. La recopilación manual de datos para una gran empresa puede ser una tarea larga y aburrida, sin embargo, bastante flexible y cómoda para las pequeñas y medianas empresas. En esa instrucción, consideraremos la automatización en la creación de perfiles de datos de red que pueden ayudar en diferentes situaciones complicadas y ambiguas. ¡Echemos un vistazo!
Software
Aparece la primera pregunta: “¿Qué tipo de software se necesita usar en esta situación”? Hay varios tipos de programarams, pero elegimos el reloj de registro y acct. Ayudan a crear informes automáticos y crean sistemas de perfiles que transforman la rutina para facilitar el movimiento.
Instalar y explotar
Al principio, escriba este comando para actualizar el índice del paquete:
sudo apt update –y && sudo apt upgrade –y
Espere un poco de tiempo para actualizar todos los paquetes, esta es una parte importante de cualquier instalación. Inmediatamente después de esta acción, escriba a CLI Comandos a continuación, que instalan el software necesario en nuestro sistema:
sudo apt install acct
Después de este registro del sistema de instalación, observando:
sudo apt install logwatch
Después de la instalación, mire el archivo de configuración:
cd ~/usr/share/logwatch/default.conf && nano logwatch.conf
En este archivo, puede especificar qué registros deben analizarse, qué nivel de detalle de los informes se necesita, etc. Si desea recopilar información de registro sobre la autenticación, necesita una línea sin comentarios:
LogFile = /var/log/auth.log
Después de compilar esta configuración, si ha configurado el servidor SMTP, puede escribir en los datos del archivo de configuración:
MailTo = an1ik@ya.ru
Luego guarde el archivo con un combination de teclas Ctrl+O, Ctrl+X y boot logwatch:
sudo logwatch
Y echa un vistazo a los resultados:
Ahora vamos a usar acct. Después de instalar acct, puede habilitar su funcionamiento usando el comando:
sudo service acct start
Después de que esta utilidad comience a registrar la información del usuario en /var/log/account/pacct. Para ver las estadísticas de uso de recursos de un usuario específico, puede usar el comando sa. Por ejemplo, para ver las estadísticas del usuario raíz, debe ejecutar el siguiente comando:
ac –p /var/log/account/pacct root
Conclusión
En esa instrucción, instalamos utilidades de monitoreo y recopilación de datos del sistema, que pueden automatizar la recopilación y sistematización de información sobre registros de todos los sistemas y acciones de los usuarios. Es un di adicionalgit print que podemos usar para nuestro sistema de seguridad. En el próximo episodio, podemos tocar la creación de tráfico sintético y perfiles de usuario en el sistema IPS/IDS para protección. ¡No sintonice el canal!