Casi todas las actividades realizadas en un sistema Unix son susceptibles de
ser, en mayor o menor medida, monitorizadas: desde las horas de acceso de cada
usuario al sistema hasta las páginas web más frecuentemente visitadas,
pasando por los intentos fallidos de conexión, los programas ejecutados
o incluso el tiempo de CPU que cada usuario consume. Obviamente esta facilidad
de Unix para recoger información tiene unas ventajas inmediatas para la
seguridad: es posible detectar un intento de ataque nada más producirse el
mismo, así como también detectar usos indebidos de los recursos o
actividades `sospechosas'; sin embargo, existen también desventajas, ya que
la gran cantidad de información que potencialmente se registra puede ser
aprovechada para crear negaciones de servicio o, más habitualmente, esa
cantidad de información puede hacer difícil detectar problemas por el
volumen de datos a analizar.
Algo muy interesante de los archivos de log en Unix es que la
mayoría de ellos son simples ficheros de texto, que se pueden visualizar
con un simple cat. Por una
parte esto es bastante cómodo para el administrador del sistema, ya que no
necesita de herramientas especiales para poder revisar los logs (aunque
existen algunas utilidades para hacerlo, como swatch) e incluso
puede programar shellscripts para comprobar los informes generados de
forma automática, con órdenes como awk, grep o sed. No
obstante, el hecho de que estos ficheros sean texto plano hace que un atacante
lo tenga muy fácil para ocultar ciertos registros modificando los archivos con
cualquier editor de textos; esto implica una cosa muy importante para un
administrador: nunca ha de confiar al 100% en lo que los informes de
auditoría del sistema le digan. Para minimizar estos riesgos se pueden
tomar diversas medidas, desde algunas quizás demasiado complejas para
entornos habituales ([SK98]) hasta otras más sencillas pero
igualmente efectivas, como utilizar una máquina fiable para registrar
información del sistema o incluso enviar los registros más importantes a
una impresora; más adelante hablaremos de ellas.
© 2002 Antonio Villalón Huerta