Log de sistemas
Logs Logs são muito importantes para a administração segura de sistemas, pois registram informações sobre o seu funcionamento e sobre eventos por eles detectados. Muitas vezes, os logs são o único recurso que um administrador possui para descobrir as causas de um problema ou comportamento anômalo. Geração de Logs Para que os logs de um sistema sejam úteis para um administrador, eles devem estar com o horário sincronizado via NTP, ser tão detalhados quanto possível, sem no entanto gerar dados em excesso.
Informações especialmente úteis são aquelas relacionadas a event registros de utilizaçã cessos a páginas W te, , de disco cheio, etc. ). Para registrar estas i OFY nexões externas e ransferidos via FTP, m sucesso, avlsos configurar o sistema da maneira apropriada. A forma de fazer isto geralmente varia para cada componente específico; consulte a documentação para descobrir como habilitar o logging de ‘nformações no seu sistema e em softwares espec[ficos como firewalls e servidores Armazenamento de Logs Armazenamento on-line Os Iogs são tradicionalmente armazenados em disco, no próprio sistema onde são gerados.
Essa é a opção mais óbvia, mas ela possui alguns riscos inerentes que devem ser compreendidos. O primeiro deles diz respeito à possibilidade dos logs se Sv. ‘ipe to View next page serem destruídos durante uma invasão do sistema (uma ocorrência bastante comum). Em alguns sistemas, isso pode ser contornado através da instalação de um loghost centralizado. Um loghost centralizado é um sistema dedicado à coleta e ao armazenamento de logs de outros sistemas em uma rede, servindo como um repositório redundante de logs.
Via de regra, o loghost não disponibiliza nenhum outro serviço, nem mesmo acesso remoto para os administradores, para minimizar a possibilidade de que ele seja comprometido. Outra vantagem de loghosts centralizados é que eles facilitam a análise dos logs e correlação de eventos ocorridos em sistemas distintos. Sempre que possível, o uso de Ioghosts centralizados é fortemente recomendado. m segundo risco é a possibilidade de um atacante usar o logging para executar um ataque de negação de serviço contra um determinado sistema, gerando eventos em excesso até que o disco onde são armazenados os Iogs fique cheio e o sistema trave em consequência disto. Conforme discutido na seção 3. 2, o uso de uma partição separada para armazenar os logs pode minimizar impacto deste problema. Outro ponto que merece atenção é a rotação automática de logs.
Quando este recurso é utilizado, deve-se garantir que os logs sejam movidos para o armazenamento off-line antes que eles sejam removidos do sistema pela rotação, evitando assim a perda de registros. Alguns sistemas trazem a rotação automática habilitada na sua configuração padrão; ao insta registros. Alguns sistemas trazem a rotação automática habilitada na sua configuração padrão; ao instalar um destes sistemas, verifique se esta configuração é compatível com os seus rocedimentos de backup e armazenamento off-line de Iogs.
Armazenamento off-line Evidentemente, os logs não podem ser mantidos on-line por tempo indeterminado, pois acabam por consumir muito espaço em disco. A melhor estratégia para resolver esta questão é transferir periodicamente os logs do disco para dispositivos de armazenamento off-line, tais como fita, CD-R ou DVD-R. É recomendável gerar um checksum criptográfico (tal como MD5 ou SHA-I) dos Iogs que são armazenados off-line. Esse checksum deve ser mantido separado dos logs, para que possa ser usado para verificar a integridade destes caso eles venham a ser ecessários.
Os Iogs armazenados off-line devem ser mantidos por um certo período de tempo, pois podem vir a ser necessários para ajudar na investigação de incidentes de segurança descobertos posteriormente. O Comitê Gestor da Internet no Brasil recomenda que logs de conexões de usuários de provedores de acesso estejam disponíveis por pelo menos 3 anos (vide http://www. cgi. br/acoes/desenvolvimento. htm). É aconselhável que os demais logs sejam mantidos no mínimo por 6 meses. É importante que os Iogs armazenados on-line sejam inclu[dos no procedimento de backup dos seus sistemas. 3