Monitorizar logs del sistema con Logwatch en Ubuntu

Una práctica recomendable como buen administrador de sistemas es revisar los logs del sistema para comprobar el buen funcionamiento del mismo. Esta tarea es bastante pesada porque en un sistema servidor habrá mucha actividad y estos ficheros pueden llegar a crecer bastante día a día. Como no podía ser menos alguien creó una herramienta que nos facilitara enórmemente esa tediosa labor. LogWatch es una analizador de logs que se ejecuta cada noche y te envía un correo con los resultados.

//www.nrgglobal.com/images/products/logwatch/lw_homepage.png

Instalación:

sudo aptitude install logwatch

Configuracion:

El fichero de configuración esta en,  /usr/share/logwatch/default.conf/logwatch.conf. Abre el fichero y podras ver algunos parametros pra su correcto funcionamientoque deberas rellenar, el correo donde enviar los avisos:

sudo gedit  /usr/share/logwatch/default.conf/logwatch.conf

MailTo = root updates to MailTo = user.name@domain.tld

ClusterSSH – Administración de servidores de “una sola tacada”

Los administradores de sistemas que disponen de una gran cantidad de servidores Linux/Unix que administrar, o bien disponen de máquinas que tiene una configuración similar pueden utilizar una herramienta llamada OpenSSH. Herramienta que permite administrar vía SSH varios servidores a la vez.

Se instala con un simple sudo apt-get install clusterssh (en sistemas debian)

Os dejo un video para que veais la instalación, configuración y uso de esta mágnifica herramienta «OpenSSH»

Información:

  • Software: ClusterSSH
  • Duración: 2 minutos y 54 segundos
  • Fuente: http://www.screencasts.es

Hacer que el gestor de claves de Gnome Keyring deje de preguntar la contraseña

Gnome tiene una aplicación llamada Gnome Keyring (Anillo de claves de Gnome) que mantiene una base de datos de todas nuestras contraseñas de forma cifrada, de forma que cuando una aplicación compatible requiera de información de login esta se recuperará del anillo de claves y sólo tendremos que introducir la primera vez la contraseña que desbloquea el anillo de claves.

Sería más cómodo, aunque evidentemente totalmente inseguro, el que el anillo de claves estuviera desbloqueado por defecto, sobre todo cuando requerimos información de login para aplicaciones que ejecutan al inicio, como es el caso de la conexión a una red con autenticación en el gestor de redes (NetworkManager) o al comprobar los nuevos mensajes de una cuenta de correo con un notificador de correo.

Esto se puede hacer utilizando el paquete libpam-keyring, un módulo del proyecto PAM que se encuentra en los repositorios de Ubuntu.

Instalación:

sudo aptitude install libpam-keyring

sudo gedit /etc/pam.d/gdm

añadir la siguiente línea:

@include common-pamkeyring

La clave que utilicemos para desbloquear el anillo de claves tiene que ser la misma que la utilizada para iniciar sesión en GDM para que la aplicación la introduzca automáticamente cuando el gestor del anillo de claves se la pida.

Si iniciamos sesión con GDM automáticamente podemos añadir la línea anterior al archivo /etc/pam.d/gdm-autologin, pero eso hará que se nos pida la contraseña al iniciar sesión en una caja ¡de texto plano!, lo cual no es la solución más óptima.

Software para la auditoria de sistemas

Aqui les dejo una lista de software que les ayudara en la auditoria de sistemas, servidores, ordenadores….

Copypastea el siguiente comando en una sola linea:

sudo apt-get install netcat hping3 kismet tcpdump ettercap nikto dsniff p0f ntop tripwire ngrep xprobe2 etherape lsof rkhunter chkrootkit yersinia nmap nmapfe wireshark aircrack-ng airsnort john kismet

*** si algun programa te dice que no lo encuentra .. eliminalo de la lista y copia y pega la misma orden sin ellos, es posible que con nuevas versiones de UBUNTU, cambien algunos nombres.

Con esta orden de arriba se instalar los siguientes programas en vuestro servidor UBUNTU/DEBIAN, con lo que abreis transformado de una forma muy simple vuestro equipo en una sofisticada maquina para auditar vulnerabilidades y posibles fallos en sistemas.

Explicacion de lo que se instala :

Netcat: Utilidad que te permite abrir puertos, leer y escribir en conexiones TCP o UDP, asociar una shell a un puerto. A menudo se usa para abrir backdoors en sistemas remotos.

Hping3: Utilidad capaz de enviar cualquier tipo de paquetes ICMP/UDP/TCP y mostrar la respuesta de la máquina de destino.

ettercap: Es un sniffer que puede capturar contraseñas y producir ataques de man-in-the-middle de forma sencilla.

nikto: Escáner de servidores web que identifica versiones y detecta vulnerabilidades.

dsniff:
Sniffer especializado en la captura de passwords transmitidos a través de varios protocolos. Incluye herramientas adicionales que permiten llevar a cabo ataques de spoofing y man-in-the-middle.

p0f: Utilidad que identifica sistemas operativos de forma pasiva, es decir, escuchando el tráfico que generan sin introducir paquetes en la red.

ntop: Muestra estadisticas de uso de la red. Es como el top de unix pero aplicado a las comunicaciones en red.

tripwire: Verifica la integridad de los archivos del sistema. Detecta cambios en los ficheros ejecutables a fin de informar sobre posibles acciones no autorizadas como la instalación de backdoors.

ngrep: Es un sniffer que implementa el tradicional grep pero buscando en los paquetes que se escuchan en la red.

xprobe2: Identifica sistemas operativos de forma activa, es decir, enviando una serie de tests al sistema remoto y determinando su tipo en base a las respuestas recibidas.

etherape: Muestra graficamente estadísticas sobre la actividad de la red.

lsof: Muestra una lista de los archivos abiertos en el sistema. Util para detectar arccesos no autorizados o para ver qué ficheros está utilizando una aplicación determinada.

rkhunter: Es un detector de rootkits.

chkrootkit: Otro detector de rootkits.

yersinia: Utilidad que se aprovecha de diversas flaquezas en algunos protocols de red (STP, CDP, DTP, DHCP, HSRP. ISL, VTP…) para provocar ataques de diversos tipos.

nmap: Es el mejor escáner de puertos que existe. Implementa una gran variedad de técnicas y un excelente sistema de deteccion de sistemas operativos y versiones. Para el que no la conozca , es «LA HERRAMIENTA QUE UTILIZABA TRINITY, EN LA PELICULA MATRIX, para hackear uno de los sistemas».

nmapfe: Front-end para nmap. Una interfaz gráfica basada en GTK.

wireshark: (antes se llamaba ethereal). Es el mejor sniffer en modo gráfico que existe. Es muy potente y sus capacidades para filtrar el tráfico lo hacen indispensable para cualquier administrador de red. Tambien hay version para Windows.

aircrack: Suite de utilidades para crackear las claves WEP utilizadas en las redes 802.11. Permiten la escucha del tráfico de la red, la inyección de paquetes y el crackeo de claves WEP de cualquier longitud.

airsnort: Utilidad para crackear claves WEP, similar a aircrack.

john: (John the Ripper) Es un excelente crackeador de contraseña. Soporta un gran numero de formatos distintos y permite bien el uso de diccionarios o el crackeo por fuerza bruta.

kismet: Identifica redes inalambricas de forma pasiva recolectando paquetes, detecta redes ocultas, clientes asociados y es capaz de sniffar el tráfico de las redes no encriptadas. Kismet es el sistema de monitorización de redes inalambricas más potente que existe en la actualidad.

Curso administración: Linux – ubuntu PDF

Este curso fue realizado por el Ministerio de Educación y Ciencia de España, aproximadamente son 17 Mb y al descomprimir obtienes un PDF de 265 paginas.

//www.megacomputers.com.my/images/ubuntu_logo.jpg

Contenido:

-Ubuntu en Live CD
-Instalación de Ubuntu.
-Sofware libre
-El entorno de trabajo en Ubuntu
-Gestión de archivos
-Administración básica de sistema
-Aplicaciones de red
-Ofimática básica en Ubuntu
-Otras tareas elementales.

Descargar:

http://rapidshare.com/files/61491497/Curso_Ubuntu_Completo.rar