* La auditoria de netfilter esta estandarizada a traves del target ULOG de iptables.
Pues mira, una de esas (tantas, tengo que reconocer) que se me han pasado de las man de iptables; mira que son largas las joías... :P
* apt-get install ulogd ulogd-pgsql ulogd-mysql ulogd-pcap el demonio, el plugin para postgree, mysql y ficheros pcap elige el que quieras o todos.
* arranca la base de datos mysql por ejemplo cambia el pasword de root viene en blanco mysqladmin -u root -p 'pasword_de_administracion'
* Conecta con mysql y crea la base de datos y usuarios, mysql -u root -p (te pedira el password_de_administracion)
* crea la base de datos mysql> create database ulog; Query OK, 1 row affected (0,00 sec)
* inyecta el esquema de tablas
mysql> use ulog; Database changed
mysql> source /usr/share/doc/packages/ulogd/mysql.table Query OK, 0 rows affected (0,05 sec)
* los privilegios de los usuarios escribir y leer mysql> GRANT select,insert ON ulog.* TO escribir@localhost IDENTIFIED BY 'pass_de_escribir'; Query OK, 0 rows affected (0,00 sec)
mysql> GRANT select ON ulog.* TO leer@localhost IDENTIFIED BY 'pass_de_leer'; Query OK, 0 rows affected (0,00 sec)
mysql> flush privileges; Query OK, 0 rows affected (0,00 sec)
mysql> \q Bye
* Edita /etc/ulogd.conf y comenta estas lineas para que no loguee a un fichero.
# # ulogd_LOGEMU.so - simple syslog emulation target # # where to write to syslogfile /var/log/ulogd.syslogemu # do we want to fflush() the file after each write? syslogsync 1 # load the plugin plugin /usr/lib/ulogd/ulogd_LOGEMU.so
* Modifica el siguiente bloque.
# # ulogd_MYSQL.so: optional logging into a MySQL database # # database information mysqltable ulog mysqlpass pass_de_escribir mysqluser escribir mysqldb ulog mysqlhost localhost # load the plugin (remove the '#' if you want to enable it) plugin /usr/lib/ulogd/ulogd_MYSQL.so
* Cambia las "marcas" LOG de las reglas del cortafuegos por ULOG
* Arranca ulogd, recarga el cortafuegos.
* Si quieres logs a un fichero, tengo por hay algo con logwatch para que mande la informacion deseada.
Hay está la clave!!! Tan fácil como crear las reglas que te de la gana con el target ULOG, meterlas en /etc/sysconfig/scripts/SuSEfirewall2-custom y darle paso al arranqued de las mismas mediante la activación de la variable nº 25 de /etc/sysconfig/SuSEfirewall2.
* Para leer la base de datos por aqui hay un par de kilos de programas, applets, etc, http://www.inl.fr/Nulog.html http://www.inl.fr/download/nulog-1.1.1.tar.gz http://joker.linuxstuff.pl/specter/ http://bonehunter.rulez.org/software/ccze/ http://sourceforge.net/projects/pothos/ http://johoho.eggheads.org/files/ulogd_php.tar.bz2 http://w5.cs.uni-sb.de/~gogo/homepage/ulog-monitor/
no obstante mysql se puede atacar con cualquier cosa, php, perl, etc.
Ajá. Perfecto; una vez montado el percal le hecharé un ojo a varios de ellos.
* Si no lo ves claro aqui tienes un programilla que te genera logs "round-robin". http://www.signuts.net/projects/rdatad/rdatad.tar.gz
Ya había contemplado esta posibilidad, que sigue abierta en cierta medida. Aunque el targeta ULOG en volacod MySQL me parece mucho más interesante. Mil gracias. -- ¡Share your knowledge! Linux user id 332494 # http://counter.li.org/ PGP id 0xC5ABA76A # http://pgp.mit.edu/