آموزش تصویری:
هر سیستم عاملی دارای لاگ گیری هست به عبارتی ساده تر هر اتفاقی می افته در یک یا چند جا ثبت و ضبط میشه این بخاطر بحث رفع مشکل Tshoot و همچنین مسایل امنیتی بسیار حایز اهمیت هست
مثال ساده در ویندوز event log می باشد تو ویندوز لاگ
Application
Security
Setup
System
داریم که در بخش امنیت یا همون security تمامی وقایع ورودی به سیستم login logoff و همچنین success login failed login ثبت و ضبط می شود و از اینجا می توجه می شوند که چه کسی با چه ای پی مثلا RDP زده یا سعی در بروت فورس داشته.
وقتی هکر وارد شود بعد از PE اغدام به پاک کردن لاگ های Event viewer می کند نکته ای که هست در سرورهای حساس لاگ ها forward می شوند علاوه بر اینکه در ویندوز نگه داری می شوند.
خوب حالا که دیدی نسبت به ویندوز گرفتیم بریم سراغ لینوکس
در لینوکس rsyslog در واقع همان event viewer ما هست که لاگ ها را دسته بنده حذف آرشیو می کند
find / -iname “rsyslog” 2>/dev/null
محل قرار گیری کانفیگ فایل اصلی rsyslog
Nano /etc/rsyslog.conf
در rsyslog برای جدا کردن و تمیز قرار دادن لاگ ها از هم از rule استفاده می کنند مثلا لاگ ورود امنیتی با لاگ کرنل باید فرق بکنه
auth/authpriv Security/authorization messages
cron Clock daemons
daemon Other daemons
kern Kernel messages
lpr Printing system
mail Mail system
user Generic user-level messages
less /var/log/syslog
روی هر لاگ ما یک عنوان زده شده که نشان اهمیت لاگ میده به ترتیب زیر
debug
info
notice
warning
warn
error
err
crit
alert
emerg
panic
لاگ روتیت فرآیند دوره ای و دایمی جهت آرشیو و یا حذف لاگ های قدیمی هست جهت جلوگیری از مصرف هارد دیسک
leafpad /etc/logrotate.conf
وقتی لینوکس سروری هک می شود باید بعد از PE اغدام به توقف سرویس لاگ فایل و حذف لاگ های قدیمی کرد که حمله شناسایی نشود
چطور میشه لاگ ها رو پاک کرد بهترین روش استفاده از shred هست همچنین با لینوکس لایو میشه هارد دیسک ویندوزی shred کرد که منجرب به فرآیند ریکاوری پیچیده ای خواهد شد!
shred –help
shred -f -n 10 /var/log/auth.log.*
نحوه غیر فعال کردن سرویس لاگ
service rsyslog stop
