Using swatch for log analysis

Artigo retirado do site LinuxSecurity.com

Source: Chris Parker – Posted by: Chris Parker
Date: Tuesday, 14 November 2000
Security Tips Log files are the central place to find information about problematic system errors. With most services, when anything slightly significant happens, a message about it is reported to syslogd. The sooner the user is aware of the message, the sooner the user can take action in regard to that message if it is needed. With 1000+ long log files, log checkers are needed as time savers and to make sure an indication of trouble is not missed.

Swatch stands for Simple WATCHer. Other log analysis software scans the logs periodically, they can tell you what HAS happened. Swatch can do this, but it can also actively scan log entries as syslogd gets them and tell you what IS happening. Not only this, swatch can also take actions when it encounters certain log messages.
Installation
First, download the newest version of swatch. Then, run:

perl Makefile.PL
make
make test
make install
make realclean

After swatch is installed, perl modules that are needed for use of swatch may also have to be downloaded.
Configuration
Swatch uses regular expressions to find lines of interest. Once swatch finds a line that matches a pattern, it takes an action, such as printing it to the screen, emailing it, or taking a user defined action.

watchfor /[dD]enied|/DEN.*ED/
echo bold
bell 3
mail
exec “/etc/call_pager 5551234 08”

This is an example of a section of a swatch configuration script. First, swatch looks for a line that contains the word denied, Denied, or anything that starts with DEN and ends with ED. Once it finds a line that contains one of the three search strings, it echoes the line in bold into the terminal and makes the bell sound (^G) 3 times. Then, swatch emails the user that is running swatch (usually root) about the line and executes the /etc/call_pager program with the given options. ignore /sendmail/,/fax/,/unimportant stuff/ In this example, the search strings sendmail, fax, and unimportant stuff are going to be ignored, even if they would normally match one of the strings being looked for.
Use
Using swatch is very simple. For using swatch to check logs normally, run:

swatch –config-file=/home/chris/swatch.conf –examine=/var/log/messages

This is assuming that the configuration file for swatch is located at /home/chris/swatch.conf and that the file that is to be checked in called /var/log/messages. To use swatch as a constantly running service that scans lines of a log file as they come in, run:

swatch –config-file=/home/chris/swatch.conf –tail-file=/var/log/messages

More Information
If more help is needed, check swatch’s homepage. Also, swatch-users is a mailing list that can help with most questions. The README and man page are both online. Finally, if all else fails or if a bug is found, email Todd Atkins, the author.

Posted in Sem categoria

Diret?rio de pesquisa do Google

Abaixo estamos listando algus dos diret?rios de pesquisa do Google

1. http://actualities.google.com
2. http://america.google.com
3. http://answer.google.com
4. http://answers.google.com
5. http://aol.google.com
6. http://asia.google.com
7. http://bendi.google.com
8. http://bernadine.google.com
9. http://blog.google.com
10. http://blogsearch.google.com
11. http://calendar.google.com
12. http://catalog.google.com
13. http://catalogs.google.com
14. http://catalogue.google.com
15. http://catalogues.google.com
16. http://code.google.com
17. http://console.google.com
18. http://d.google.com
19. http://desktop.google.com
20. http://directory.google.com
21. http://download.google.com
22. http://downloads.google.com
23. http://earth.google.com
24. http://email.google.com
25. http://europe.google.com
26. http://froogle.google.com
27. http://frugal.google.com
28. http://fusion.google.com
29. http://gmail.google.com
30. http://group.google.com
31. http://groups-beta.google.com
32. http://groups.google.com
33. http://ham.google.com
34. http://image.google.com
35. http://images.google.com
36. http://investor.google.com
37. http://investors.google.com
38. http://jump.google.com
39. http://kh.google.com
40. http://labs.google.com
41. http://local.google.com
42. http://locale.google.com
43. http://mail.google.com
44. http://map.google.com
45. http://maps.google.com
46. http://mini.google.com
47. http://mobile.google.com
48. http://moon.google.com
49. http://mt.google.com
50. http://news.google.com
51. http://opt.google.com
52. http://posting.google.com
53. http://print.google.com
54. http://protocol.google.com
55. http://publisher.google.com
56. http://purchase.google.com
57. http://ratings.google.com
58. http://reader.google.com
59. http://relay.google.com
60. http://sandbox.google.com
61. http://scholar.google.com
62. http://search.google.com
63. http://services.google.com
64. http://shopping.google.com
65. http://sprint.google.com
66. http://support.google.com
67. http://talk.google.com
68. http://toolbar.google.com
69. http://translate.google.com
70. http://vat.google.com
71. http://video.google.com
72. http://virgin.google.com
73. http://w.google.com
74. http://web.google.com
75. http://webaccelerator.google.com
76. http://wire.google.com

Posted in Sem categoria

Impedindo o Acesso sem senha na inicializa?

Artigo retirado do site Dicas-L da Unicamp

Colabora??o: Giorge Henrique Abdala

O grub, gerenciador de boot padr?o em muitas distribui??es, possui alguns
artificios que permitem a entrada no sistema como root sem a necessidade de
digitar uma senha. Nessa dica explicarei como prevenir esse tipo de coisa,
fazendo uso de alguns procedimentos que podem, inclusive, serem adaptados
a outros gerenciadores de boot, como o Lilo.

As maneiras mais conhecidas para entrar no sistema sem senha s?o:

1. disquete de boot.
2. trocando o runlevel para 1 (Single ou manuten??o).
3. Trocando o runlevel para `init=/bin/bash`.

Para impedir que algu?m n?o autorizado tenha acesso total usando qualquer
uma das op??es citadas, siga os seguintes passos.

1. Edite o /etc/inittab e verifique se existe uma linha parecida com:

su:S:wait:/etc/rc.d/rc.sulogin

Essa linha diz ao sistema para, quando iniciado no modo Single, executar o
arquivo /etc/rc.d/sulogin. Seguindo a l?gica, edite o script /etc/rc.d/sulogin,
e adicione a linha:

sulogin -p

*/Para for?ar o sistema a pedir a senha root sempre que for iniciado no modo manuten??o*/

2. Com o procedimento anterior, padr?o em muitas distribui??es, voc? impede
o acesso no modo single, por?m, ainda ? poss?vel o acesso sem senha trocando
o runlevel para init=/bin/bash. Para evitar fa?a:

#grub

*/criptografa uma senha ser usada no grub*/
grub> md5crypt

*/digite a senha a ser criptografada*/
password: *********

A sa?da do comando ser? a senha criptografada, algo como:

encrypted: $1$2atu01$qdxmcgaxxw0pehytdvixo.

Edite o arquivo /boot/grub/menu.lst, e adicione, no in?cio do arquivo, a seguinte linha:

password = –md5

Lembrando que “” dever? ser trocado pelos caracteres
obtidos com o md5crypt do grub. Salve o /boot/grub/menu.lst e retire a
permiss?o de escrita de todos os usu?rios. Reinicie a m?quina e tente editar
os par?metros do grub, ou entrar na linha de comando, para ver o que acontece.

Repare que colocar senha no grub evita tamb?m o acesso pelo modo Single e
a vizualiza??o de arquivos confidenciais, pois, a edi??o dos par?metros do
grub e a linha de comando ficam restritas a quem possuir a senha.

Se voc? quiser, pode adicionar “lock”, logo ap?s a linha de senha no menu.lst,
e for?ar o grub pedir senha at? mesmo para iniciar uma parti??o. Se preferir,
adicione “password = –md5 ” e “lock” nas op??es de cada Sistema
Operacional “setado” no menu.lst, e configure uma senha diferente para cada SO.

Para aumentar ainda mais a seguran?a, coloque senha no setup, para impedir
que mudem a sequ?ncia de boot. Isso ir? evitar oacesso com um disquete
de recupera??o.

A Op??o de senha tamb?m pode ser usada com o Lilo. Para mais informa??es
consulte:

3. info grub, man lilo
4. GRUB (http://www.gnu.org/software/grub/)
5. Lilo HOWTO (http://tldp.org/HOWTO/LILO.html)

Posted in Sem categoria

Instalando driver da Nvidia no Debian

Instru??es simples para instalar os drivers da nVidia para XFree86 no Debian

Escrito: Len Sorensen
(LSorensen on irc.debian.org, lsorense -at- csclub.uwaterloo.ca)
Vers?o original:
http://tinyplanet.ca/~lsorense/debian/debian-nvidia-dri-howto.txt

Tradu??o: Cesar A. Ramina
Curitiba, PR, Brasil
linux225159-geral@yahoo.com.br

Nota:
At? agora s?o estas as vers?es debian:
woody: Debian 3.0 stable release
sarge: Debian testing release (ser? a pr?xima vers?o est?vel)
sid: Debian unstable (n?o ser? lan?ada serviu para testes)

Passo 0: Limpando a confus?o deixado pelo nvidia’s installer (se usou antes)

Tenha certeza de remover todo o lixo criado pelointalador da NVidia, pois ele cria arquivos em diferentes locais e podem causar problemas mesmo seguindo estas instru??es. Existe uma op??o de desinstala??o, algo como nvidia-installer –uninstall pode resolver o problema.

NT: Se usou o arquivo bin?rio para a instala??o, tipo NVIDIA-Linux-x86-1.0-6111-pkg1.run ? s? executar o programa novamente com –uninstall.

N?o misture pacotes do debian com os do nvidia intaller. Os instaladores n?o concordam com o lugar onde ser?o instalados os pacotes. ? de um jeito ou de outro. Para fazer o jeito certo Debian, todos os resquicios do nvidia installer tem que ser apagados.

Passo 1: Preparando os pacotes fontes

Para quem usa vers?o woody:
Se voc? est? rodando a vers?o woody que n?o contem os drivers da nvidia, acrescente esta linha no seu arquivo /etc/apt/sources.list:

deb http://www.backports.org/debian woody nvidia-graphics-drivers nvidia-kernel-common xfree86 dpatch

depois execute ‘apt-get update’ para atualizar a lista de pacotes.

Para quem usa a vers?o sarge ou sid:
Tenha certeza que voc? tem main contrib non-free no seu arquivo /etc/apt/sources.list desde que o drivers da nvidia est?o na ?rea non-free e algumas ajudas na ?rea contrib.

Passo 2: Tenha certeza que seu kernel est? com a vers?o certa.

O driver da nvidia requer kernel 2.4 ou 2.6 neste momento.

Para quem usa vers?o woody:
Se n?o est? rodando 2.4.18 no woody compilado para a seu tipo de cpu, voc? tem que acertar isso primeiro. Para Pentium Pro, Celeron, P2, P3 e P4
use o pacote ‘kernel-image-2.4.18-686’, para Duron e Athlon use
‘kernel-uimage-2.4.18-k7’, e para sistemas antigos pentium e k6, use
‘kernel-image-2.4.18-386’ . Breve, 2.4.24 pode se tornar dispon?vel para vers?o woody.

Lembre de reboot depois de instalado o novo kernel para ter certeza que est? rodando o kernel certo.

Para quem usa a vers?o sarge ou sid:
Para quem usa a vers?o sarge ou sid, por favor tenha certeza que est? rodando o kernel mais atual. A maneira mais simples de fazer isto ?:
> apt-get install kernel-image-2.4-686
ou
> apt-get install kernel-image-2.4-k7
ou
> apt-get install kernel-image-2.6-686
ou
> apt-get install kernel-image-2.6-k7

Isto far? voc? usar o ?ltimo kernel dispon?vel (seja 2.4.x
ou 2.6.x). Se o comando para instalar o kernel-headers falhar mais tarde, significa que n?o fez esse passo certo.

Lembre de reboot depois de instalado o novo kernel para ter certeza que est? rodando o kernel certo.

Passo 3: Instalando os pacotes necess?rios para compilar o m?dulo nvidia.
? necess?rio a instala??o de alguns pacotes.

> apt-get install nvidia-kernel-source nvidia-kernel-common

Se est? rodando um kernel debian, fa?a o seguinte:

> apt-get install kernel-headers-`uname -r`

> export KVERS=`uname -r`
> export KSRC=/usr/src/kernel-headers-`uname -r`

Note que as linhas acima N?O s?o escritas com aspas simples. S?o crases. Aqueles s?mbolos nas teclas ~ em teclados com layout americano.

NT: Eu tive que usar o kernel-source ao inv?s do headers. ? s? descarregar com o comando:
> apt-get install kernel-source-`uname -r`e > export KSRC=/usr/src/kernel-source-`uname -r`

Se voc? compilou seu kernel, apenas tenha certeza que sabe extamente onde se encontram os fontes (sources) e para acertar a vari?vel KSRC naquele local.

> export KVERS=`uname -r`
> export KSRC=location of your kernel sources or headers

Note que as linhas acima N?O s?o escritas com aspas simples. S?o crases. Aqueles s?mbolos nas teclas ~ em teclados com layout americano.

Passo 4: Compilando e instalando o m?dulo nvidia

Compile o modulo do kernel:
> cd /usr/src
> tar xvzf nvidia-kernel-source.tar.gz
> cd modules/nvidia-kernel
> debian/rules binary_modules

E ent?o instale-o:
> cd ..
> dpkg -i nvidia-kernel-`uname -r`*deb
> depmod -a

Passo 5: Instalando e configurando o driver glx da nvidia

Instale os pacotes com o comando:
> apt-get install nvidia-glx nvidia-glx-dev xserver-xfree86

Voce est? pronto para usar o servidor X com seu novo driver. Configure o X normaqlmente com :
> dpkg-reconfigure xserver-xfree86

e configure o monitor, resolu??o, mouse, etc… com seus perif?ricos e selecione o driver nvidia ao inv?s de nv.

Nota: Todos os usu?rios gostaria de usar modo 3D ent?o adicione os usu?rios a este grupo. Para isto comande:
> adduser youruser video

Na pr?xima vez que os usu?rios fizerem login ter?o acesso 3D.

? isto. Voc? est? rodando seu novo X. Vai aparecer o logo do NVidia na inicializa??o do ambiente X se tudo correu bem.

Lembre-se: todas as vezes que voc? trocar de kernel ou sair uma nova vers?o do driver da nvidia esses passos dever?o ser executados novamente para que o m?dulo kernel nvidia compatibilize com o kernel novo.

NT: Eu ainda tive que instalar o m?dulo nvidia usando o comando modconf.

Posted in Sem categoria

Feliz Natal

O projeto DebianMagazine.org deseja um feliz Natal e um otimo ano novo a todos.

Posted in Sem categoria

Bloqueando sites P2P no Linux com Iptables.

Regras para bloquear protocolos P2P com o firewall iptables no Linux:

/usr/sbin/iptables -I FORWARD -p tcp -m layer7 –l7proto bittorrent -j DROP
/usr/sbin/iptables -I FORWARD -p tcp -m layer7 –l7proto directconnect -j DROP
/usr/sbin/iptables -I FORWARD -p tcp -m layer7 –l7proto gnutella -j DROP
/usr/sbin/iptables -I FORWARD -p tcp -m layer7 –l7proto edonkey -j DROP
/usr/sbin/iptables -I FORWARD -p tcp -m layer7 –l7proto bearshare -j DROP
/usr/sbin/iptables -I FORWARD -p tcp -m layer7 –l7proto winmx -j DROP

Posted in Sem categoria

Clonando HD

Neste exemplo voce aprendera a clonar um hd usando o dd + gzip + netcat

dd if=/dev/hda conv=sync,noerror bs=64k | gzip -c | nc -l -q 0 -p 5000

nc 192.168.1.1 5000 | gzip -cd | dd of=/dev/hda bs=64k

Posted in Sem categoria

Exemplo de arquivo Sudoers

Abaixo segue um exemplo de arquivo /etc/sudoers, utilizado pelo comando sudo

# sudoers file.
#
# This file MUST be edited with the ‘visudo’ command as root.
#
# See the sudoers man page for the details on how to write a sudoers file.
#

# Host alias specification

# User alias specification

# Cmnd alias specification

# Defaults specification

# User privilege specification
root ALL=(ALL) ALL

# Uncomment to allow people in group wheel to run all commands
# %wheel ALL=(ALL) ALL

# Same thing without a password
# %wheel ALL=(ALL) NOPASSWD: ALL

# Samples
# %users ALL=/sbin/mount /cdrom,/sbin/umount /cdrom
# %users localhost=/sbin/shutdown -h now
cabelo ALL=NOPASSWD:/sbin/ifup ,/sbin/ifdown

Posted in Sem categoria

Recompilando Kernel 2.6 no Debian.

Pacotes necess\u00e1rios:

libncurses5-dev
dialog
kernel-image

1\u00ba) Baixe a vers\u00e3o 2.6.x desejada no site kernel.org, descompate-o e copie para a pasta /usr/src;

2\u00ba) Crie um link simb\u00f3lico do Kernel para linux ex:
ln -s /usr/src/linux2.6.x /usr/src/linux

3\u00ba) Entre no diret\u00f3rio linux e copie o arquivo de configura\u00e7\u00e3o do kernel que se encontra em /boot/config2.6.x ., no qual iremos copiar o arquivo de config2.6.x para .config

4\u00ba) Alguma vezes n\u00e3o \u00e9 necess\u00e1rio verificar as depend\u00eancias:

5\u00ba) make-kpkg –initrd kernel_image

6\u00ba) cd .. ; dpkg -i kernel-2.6.x.deb

Posted in Sem categoria