Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

[Linux] Sécurité : Lire les logs et les nettoyer ??

Arnold59

Bonjour,

Soucieux de la sécurité de mon système Linux (Ubuntu 11.10), je souhaites lire & faire un peu de ménage dans les logs, mais vu la quantité de logs difficile de s'y retrouver :

/root@toto-laptop:/var/log# ls
account                  diskfree.log.7.gz  messages
aide                     diskfree.log.8.gz  messages.1
alternatives.log         diskfree.log.9.gz  messages.2.gz
alternatives.log.1       dist-upgrade       messages.3.gz
alternatives.log.2.gz    dmesg              messages.4.gz
alternatives.log.3.gz    dmesg.0            news
alternatives.log.4.gz    dmesg.1.gz         pm-powersave.log
alternatives.log.5.gz    dmesg.2.gz         pm-powersave.log.1
alternatives.log.6.gz    dmesg.3.gz         pm-powersave.log.2.gz
alternatives.log.7.gz    dmesg.4.gz         pm-powersave.log.3.gz
alternatives.log.8.gz    dpkg.log           pm-powersave.log.4.gz
apparmor                 dpkg.log.1         pm-suspend.log
apt                      dpkg.log.10.gz     pm-suspend.log.1
aptitude                 dpkg.log.11.gz     pm-suspend.log.2.gz
aptitude.1.gz            dpkg.log.12.gz     pm-suspend.log.3.gz
aptitude.2.gz            dpkg.log.2.gz      pm-suspend.log.4.gz
auth.log                 dpkg.log.3.gz      popularity-contest
auth.log.1               dpkg.log.4.gz      popularity-contest.0
auth.log.2.gz            dpkg.log.5.gz      popularity-contest.1.gz
auth.log.3.gz            dpkg.log.6.gz      popularity-contest.2.gz
auth.log.4.gz            dpkg.log.7.gz      popularity-contest.3.gz
Bastille                 dpkg.log.8.gz      popularity-contest.4.gz
boot                     dpkg.log.9.gz      popularity-contest.5.gz
boot.log                 faillog            popularity-contest.6.gz
bootstrap.log            fontconfig.log     psad
btmp                     fsck               pycentral.log
btmp.1                   gdm                samba
btmp.1.gz                installer          setuid
checkbox.log             jockey.log         speech-dispatcher
checkbox.log.1           jockey.log.1       syslog
checksecurity            jockey.log.10.gz   syslog.1
checksecurity.log        jockey.log.2.gz    syslog.2.gz
checksecurity.log.10.gz  jockey.log.3.gz    syslog.3.gz
checksecurity.log.1.gz   jockey.log.4.gz    syslog.4.gz
checksecurity.log.2.gz   jockey.log.5.gz    syslog.5.gz
checksecurity.log.3.gz   jockey.log.6.gz    syslog.6.gz
checksecurity.log.4.gz   jockey.log.7.gz    syslog.7.gz
checksecurity.log.5.gz   jockey.log.8.gz    udev
checksecurity.log.6.gz   jockey.log.9.gz    ufw.log
checksecurity.log.7.gz   kern.log           unattended-upgrades
checksecurity.log.8.gz   kern.log.1         user.log
checksecurity.log.9.gz   kern.log.2.gz      user.log.1
clamav                   kern.log.3.gz      user.log.2.gz
ConsoleKit               kern.log.4.gz      user.log.3.gz
cups                     lastlog            user.log.4.gz
daemon.log               lightdm            wtmp
daemon.log.1             lpr.log            wtmp.1
daemon.log.2.gz          lpr.log.1          wtmp.1.gz
daemon.log.3.gz          lpr.log.2.gz       wtmp.report
daemon.log.4.gz          lpr.log.3.gz       Xorg.0.log
debug                    lpr.log.4.gz       Xorg.0.log.old
debug.1                  mail.err           Xorg.1.log
debug.2.gz               mail.err.1         Xorg.1.log.old
debug.3.gz               mail.err.2.gz      Xorg.2.log
debug.4.gz               mail.err.3.gz      Xorg.2.log.old
diskfree.log             mail.err.4.gz      Xorg.3.log
diskfree.log.10.gz       mail.info          Xorg.3.log.old
diskfree.log.1.gz        mail.log           Xorg.4.log
diskfree.log.2.gz        mail.log.1         Xorg.4.log.old
diskfree.log.3.gz        mail.log.2.gz      Xorg.5.log
diskfree.log.4.gz        mail.log.3.gz      Xorg.5.log.old
diskfree.log.5.gz        mail.log.4.gz
diskfree.log.6.gz        mail.warn

Je sais que les noms a extension .old sont anciens & .gz sont des fichiers compressés

Comment procède-t-on pour obtenir un système performant ?

D'avance merci.

Hoper

J'ai l'impression que tu mélange pas mal de choses....

Quel rapport voit tu entre ces trois notions par exemple :
- Sécurité
- Performance
- Fichiers de logs

Parce que la, comme ça, je n'en voit strictement aucun.

Arnold59

Bonjour,

Les logs sont des indicateurs et on voit paraitre les événements cela peut être exploité pour sécuriser au mieux le système.

Effectivement je me suis mêler les pinceaux :
- analyse de logs et actions en fonctions des messages
- configuration de checksecurity, clamav, firestarter ...
- je mets à jour régulièrement Linux Ubuntu

Je me perds dans les logs ?

Hoper

Les logs sont des indicateurs et on voit paraitre les événements cela peut être exploité pour sécuriser au mieux le système.

La, d'accord. Mais on ne parle alors ici que de logs très spécifique, soit liés à des logiciels de sécurités, soit liés au mécanisme d'authentification de l'OS.

Dans les deux cas, ces logs ne vont rien t'apprendre de plus que ce qu'une commande comme "last" par exemple va te fournir. (qui s'est connecté et quand).

Bref, tant qu'il n'y a pas de soucis, la "surveillance" des logs eux même n'a pas grand intérêts. (encore une fois sauf logs spécifiques que tu pourrai toi même mettre en place, et lié à une application précise, genre tripwire ou autre).

- analyse de logs et actions en fonctions des messages

voir ce que j'écris juste avant

- configuration de checksecurity, clamav, firestarter ...

Plein de trucs qui n'ont rien à voir et qui sont globalement totalement inutiles sur linux.

- je mets à jour régulièrement Linux Ubuntu

Ca c'est de loin le truc le plus simple et le plus efficace que tu puisse faire oui.

Je me perds dans les logs ?

Je pense oui. Les logs "de base" ne t'apprendront rien. C'est à toi de mettre en place une supervision précise de ce que tu souhaite surveiller, et donc de créer tes propres logs. Logs que tu pourra alors analyser ensuite, manuellement ou automatiquement.

Mais tu dois pas bien comprendre que les logs, ce n'est pas miraculeux. Tu ne verra jamais apparaitre dans un fichier de log "Une attaque par injection sql vient d’être faite sur le serveur apache". C'est plutôt à toi de vérifier si des modifications sont apportés à ton système, et si ces modifications sont normales ou pas. Après, si quelque chose te semble vraiment anormal, la les logs peuvent etre utile pour essayer de retrouver qui à fait quoi et quand. Mais sinon...

PS : Je corrige un truc que j'ai écrit plus haut. Il y a évidement un rapport entre fichiers de logs et performance. Car si tu te met à loguer vraiment énormément d'informations, les performances vont diminuer, c'est évident. Mais bon, ce ne sera jamais le cas avec le paramétrage par défaut sur un serveur perso.