Fala aí pessoal é bom estar com vocês aqui de novo e na aula de hoje eu vou falar a respeito de centralização dos logs utilizando o RC log na verdade a lógica é mesma do cisca log B antigão né e outros servidores de log que você quiser utilizar Mas vamos entender a importância né de centralizar os logs e como fazer isso inclusive vou colocar algumas máquinas aqui para você poder já tá colocando isso na prática entender o Porquê de fazer isso aí né de colocar os logs centralizados né Tem muita gente que acha que log
Centralizado é coisa do passado e não é ainda mais em mundos de conformidade compli né e cem Então hoje a gente vai falar especificamente sobre essa parte essa importância né de log não vamos tratar dos logs em si né hoje eu não vou parar para analisar log o que que ele tá dizendo deixa dizer vou dizer o servidor né o conjunto macro ali de log e tudo mais e se você não me conhece Eu sou Wagner Fonseca sou especialista Lino e se você também quer se tornar um especialista Linux quer se diferenciar no mercado quer
se sobressair né e ser realmente alguém que sabe o que tá fazendo que entende de Linux cola comigo chega junto e com certeza a gente vai trilhar esse caminho bem vou já hoje bastante coisa né para falar então vou já dar algumas eh eh algumas razões pelo qual é importante você pensar nessa questão de Centralização de Lor primeiro porque log é a principal informação tá sobre o que acontece ou aconteceu no sistema segundo eh apesar de você né parte do primeiro apesar de você tá rejeitando isso se você veio do mundo Windows onde o log
na maioria dos casos não te Serviu de nada no mundo e Unix né e Linux BSD no mundo nyx ele é diferente o log é muito preciso extremamente importante tá então você tem que entender essa importância Aí segundo no Mundo De conformidades onde nós temos que atender né compliances baseadas em lgpd em gdpr depende né do do do do do continente que você tá lgpd gdpr e tudo mais Você Precisa ter eh registros de atividades para comprovações legais e se você não tiver você tem um problema e terceiro né você precisa dessa dessa centralização de
logs muitas vezes porque você utiliza programas de cm né são programas de análise de informação e gerenciamento de Dados de segurança e uma das coisas que eles fazem é compilar informações eles têm Inteligência Artificial né Nos programas tá onde eles leem várias informações e compilam possíveis problemas né compilam possíveis eh eh eh casos possíveis ocorrências então ele lê várias coisas E então e e e e dá relatórios para você então você precisa entender que é importante ter isso é importante estar registrado e por isso a gente pensa muito em como tratar os Logs hoje eu
tenho aqui isso eu tô aqui com três máquinas né Tem uma que vai ser o servidor e duas né inclusive um servidor do MK aqui e a minha própria máquina vão ser seus clientes né vou simular as máquinas da rede que enviam as informações para alguém tá o o trabalho bem assim não tem nada de complicado não tem nada de difícil a questão toda é você saber o que está fazendo por tá fazendo e como isso funciona ali dentro para que você Possa criar os seus servidores tá e colocá-los de forma que eles sejam máquinas
seguras dentro da rede porque é muito fácil você comprometer uma máquina de serviço muito fácil né infelizmente é servidor web DNS eh Gmail né uma máquina que tá de cara paraa Rua ela é visada mas você tem uma máquina que você consegue manter os registros delas e proteger esses registros faz muita Diferença cadê você Ah tá aqui então vamos imaginar a seguinte situação né dentro da tua infra aí então você tem lá dmz eu não tô nem interessado em desktop aqui tá eu tô interessado em servidor né então você tem o teu fá ali Cadê
aqui se você tem o teu fá lá seja ele qual for Linux PF sense appliances o que for você tem que ter um tem gente que não tem você tem que ter Um internet tá aí você vai ter aqui a tua dmz com os teus servidores né servidor de lá DNS Linux você vai ter não FTP não ninguém quer FTP mar isso Ó você vai ter o seu Oracle você vai ter seu servidor de e mail que mais que mais [Música] po acho que tá bom e o servidor de Aplicação né digamos tem um servidor
web aqui com aplicação tá Essas são máquinas tá que estão lá na sua dmz mas que elas também Cadê variá Deixa eu andar aqui camadas D queria tirar aqui a cor eu vou deixar a senha aqui então esse aqui é o seu sua dmz né então são máquinas que tão de cara pra internet seja tá elas estão de cara paraa internet porque elas Têm IPS válidos tá E são tratadas pelo firel ou elas estão de cara paraa internet porque o firel faz na do serviço tá tanto faz uma forma ou outra tá geralmente o firel
faz Nat do serviço então elas em si não t IPS Tá válidos mas são máquinas que por alguma porta são acessadas direta na internet então Digamos que alguém consiga por algum motivo alguma falha algum ele consiga comprometimento dessa máquina Aqui eu consegui comprometer o DNS eu tô fazendo agora pson de DNS eu tô envenenando as respostas do teu DNS vou fazer o teus serviços e a até os seus clientes a sua rede ir para lugares errados tô fazendo aqui quando eu consegui invadir essa máquina por alguma falha alguma coisa que seja eu vou apagar as
minhas entradas aqui eu vou apagar as informações de log então quando você for olhar você não vai nem saber quando Aconteceu como aconteceu a quanto tempo tá lá eu apaguei aqui substituí tirei as linhas tem programas específicos para tirar entradas específicas de log ele vai lá no arquivo e apaga script você faz isso com script se você quiser n com grap s então é a WC é fácil e aí você perdeu a informação do acontecimento Tá e aí entra tá a questão do serviço de log remoto para começar Se eu for eu tá isso aqui
é procedimento meu se eu vou montar uma Máquina de log remoto essa máquina não tem acesso externo nenhum nenhum nenhum nenhum eu tenho nela ou ela tá atrás de um outro F ou atrás desse F mas tenho regras que só quem é da dmz e só pelas portas específicas as portas do serviço de log chegam nela e SSH para essa máquina só de máquinas permitidas dentro da minha infra ou de uma máquina dentro da minha infra a máquina x lá da administração com Chaves nem senha com Chaves entenderam aí o o o como eu trato
esta máquina na minha rede um ela não é acessível na dmz direto na dmz provavelmente ela não tá na dmz ela não tá na minha rede também tá porque se ela tiver na minha rede ela acessível direto eu vou ter ela provavelmente atrás de um firel e esse Fire só vai dar permissão para duas coisas acontecerem uma acesso a serviço de log só das máquinas da dmz só na porta de Log acesso SSH só de máquina específica da rede tá E no SSH eu vou configurar isso para ser feito por Chaves para quê Porque se
caso houver um comprometimento aqui de uma ou mais máquinas da dmz não vai haver comprometimento do servidor de logs esse cara vai continuar íntegro a ponto de se o cara que entrou aqui ou aqui ou aqui ou aqui Apagar os seus tentar apagar as suas pegadas ele não Vai conseguir fazer ele pode apagar o que acontece daqui PR frente mas no momento que ele entrou até ele conseguir tomar conta de tudo aqui onde ele atacou já foi registrado Então essa é o que eu chamo de localização do servidor de log remoto ele é localizado com
acesso porém é totalmente controlado quem como acessam totalmente controlado quem acessa e como acessa é isso que vai ser Feito deixa eu ver aqui o pessoal que tá aí David Brawl Star Boa noite Boa noite Fernando Mendes Boa noite Davi Fonseca galera beleza Nino Boa noite a todos Boa noite David Boa noite de novo Agnaldo Soares de Araújo Boa noite galera Será que o Vagner não é qu o que isso hein Ah bom pensei que tava com poderoso ataque de casa não eu uso Head Shoulders Boa noite vamos de uma com uma ga ainda não
consigo fazer um chiclete vir bomba n Wagner é forte como Umo não Sei se Tom isso como elogio qualquer coisa assim hein Diego V Boa noite grande Wagner espero de grande de como você me considera né não Do tamanho da minha cara porque tô gord binol ja Peri na área show de bola João BPS Boa noite a todos disma vandira boa noite mestre rslog versus jornal CTL são coisas diferentes né o jornal CTL ele registra atividades do que acontece basicamente via se estender se alguém não tá dentro do se Estender o jornal Cell não vai
pegar então né tem que considerar isso o jornal é bom é mas ele só pega se você configurar dentro do se estender e programas que estão falando direto com se estender não é só quem iniciado pelo se estender não tá todo programa Fala log tá todo programa Fala linguagem log então rlog sisk log D sislog NG sei lá outros sislog inventário falam com todos os programas Isso é uma vantagem David BR tá rindo É qual o tamanho aqui na Minha cara a blusa era larga quando eu comprei né agora tá assim tudo bem blusa de
nerd é assim ela encle blusa de nerd encle tem que mentalizar isso ó blusa que encle então a posição né a localização do servidor de log dentro da rede Eu geralmente coloco assim tá o f vai ter que controlar então ela não vai poder est fisicamente ligada na dmz não pode porque se ela tiver fisicamente ligada na dmz com IP de dmz o Switch vai Entregar não tenho controle não passo por Faro não posso deixar lá na minha rede minha rede é insegura sua rede de máquinas rede de cliente desktops é insegura porque tem desktop
tem pessoas então ela vai ter uma rede qualquer separada tá E vai ser acessível através do te fá roteado bonitinho e só vai ser acessível dentro do que precisa tá que são os serviços de log para dmz ninguém mais fala porta de log sem ser a dmz e SSH para poucas ou Uma máquina escolhida da da rede de preferência com Chaves então eu tô restringindo ao máximo tá o o o acesso a essa máquina para que o que acontecer com qualquer outro esse aqui inclusive esses daqui essa máquina esteja protegido tá pelo menos dentro do
máximo possível então vamos lá esse aqui é o meu servidor de log primeira coisa tem que ver É se o log tá na máquina tá funcionando Ó RX log D tá aqui ó - n Men I escutando no lugar nenhum n mas tá lá o Dimon tá lá tá o log o rslog ou sislog D né que são muito muito parecidos né tem o s slog NG que mudou não sei o que mas cara não virou padrão da indústria então a maioria acaba que e todas instalações trazem um RC log como ser o servidor de
log aqui tá até vazio meu diretório então basicamente esse esse cara aqui vai ter todas as Configurações dele o rslog PC tá ele é muito parecido com ess log D então se você aprendeu o log há 30 anos atrás 20 anos atrás tá igualzinho tá igualzinho então ele tem só que ele é modular diferente do antigo sislog né e ele tem o seguinte Ele carrega aqui as coisas conforme os módulos que você aciona tá você tem aqui você tem aqui eu cliquei no lugar errado troquei a tela você tem aqui o módulo de muk so
né que é o Socket que ele provê para serviços logo falarem com ele tá Então como é que funciona esse cara ele cria um socket local né ó socket é um arquivo especial da máquina feito para comunicação entre processos de forma bidirecional tem processo que só recebe tem processo que fala e recebe não importa mas é um socket é para isso que ele serbe para que um processo Fale com outro processo então ele cria um socket aqui para que outros serviços falem com Socket e possam escrever nos logs e basicamente todo programa é feito PR
Linux o cara bota biblioteca de log lá e consegue falar com os log módulo imk log né que é pro Kernel log para que ele capture o que o Kernel faz tá você tem possibilidade de marcar mensagens com módulo Mark tá E você tem aqui os serviços de recepção de log tá você tem aqui os serviços de recepção de log que são dois você pode ter o serviço de recepção de log via udp você Pode ter o serviço de recepção de log via PCP tá então o que você tem aqui é a capacidade dele receber
log via um ou outro método qual é a diferença é a diferença entre TCP e udp né rápido não orientado à conexão menos overhead na pilha TCP porém pode haver perdas é essencial pro que tem agora não TCP não tão rápido orientado à conexão faz tudo baseado na conexão ou seja há Muita troca de pacote né o o o o sim que fim gera mais overhead né mais pilhas de transporte dentro da rede porém ele garante a entrega dos dados é tão importante assim para log não tá não Então descomento as linhas do log via
udp vou sair daqui no momento no momento eu só tenho aqui ó porta 68 o DP que é o DH client que é o meu cliente DHCP que tá escutando ali não tenho nenhum serviço DP aqui tá bem de cara Opa levantar de cara você vê que eu passei Até agora dois serviços que não tinha tá Por quê Porque como não tá especificado Ele tá trabalhando tanto em ipv4 quanto ipv6 tu a rede não US ipv6 desabilite serviços ipv6 é sempre a min recomendação e agora vamos dar uma olhada no arquivo né Eh aqui né
ele tem os Actions default template para que você use o padrão né De se log para marcar o time ST daora basicamente o Dono dos arquivos A não ser que tenha dono específico aí logs específicos de aplicações podem fazer isso o Dono dos arquivos é Rot o grupo é ADM permissão 06 40 nenhuma permissão especial leitura escrita pro dono leitura pro grupo nada pro resto se for criar diretório 0755 que é o padrão para diretório mínimo de acesso leitura escrita execução pro dono leitura execução leitura execução e um Mas que padrão 0022 nada de permissão
especial e eh eh eh tira a a a escrita de qualquer grupo e qualquer outros Onde fica o diretório trabalho dele né então o diretório onde ele manipula as coisas aqui ó varp rlog include confir significa que se eu quiser fazer configurações particulares de log eu não preciso fazer nesse arquivo eu posso fazer nesse diretório basta que o arquivo seja qualquer coisa PC qualquer coisa PC tá feito Ok tá Certo beleza todo mundo feliz tá Eita me achei aqui e as regras padrão aqui né Alt e al prive então tudo que tem a ver com
autenticação tudo que tem a ver com autenticação em qualquer nível de informação vai para esse arquivo aqui o rslog como C log d e maioria dos outros trabalha com dois Campos para fazer um log tá isso aqui é um campo isso aqui é um campo deixa eu ver se tem um maior não tenho Maior isso aqui é um campo não isso aqui é um campo tá são Campos separados por dois pontos um campo é chamado recurso e outro campo é é chamado prioridade tá também chamado de facilidade e nível tá também é chamado de facilidade
e nível tá basicamente recurso ou facilidade é sobre Qual assunto eu quero fazer log prioridade ou nível qual a intensidade do que eu quero fazer log tá E é crescente aqui no caso da prioridade Do nível tá então eu tenho info basicamente informação básica de funcionamento Ok não tá ligou desligou debug né que é informações um pouco mais detalhadas de funcionamento warn e noce na verdade notificações toda vez que o cara tem alguma informação importante que ele tem que notificar ele tem o notice ele tem o warning que é avisos quando o cara alguma coisa
não está como deveria estar eu tenho R que é Erro e tenho crit que é crítico tá então o o crit tá ou e o e o esse aqui é o cruel né o emerg emergencial crítico ou emergencial o emerg ou crítico né o emergencial é cara se o cara tá gerando mensagens emergenciais é que a coisa é grave se está gerando muitas mensagens emergenciais é porque é muito grave se o k está gerando mensagem emcia tua máquina vai parar se o k está gerando mensag Menagens emergenciais tua máquina Vai parar Então é que recurso
aqui vírgula separa vários recursos tá que prioridade eu quero fazer tá e onde eu vou fazer tá isso aqui é onde eu vou fazer qual o local de lod então eu tenho qualquer tipo qualquer tipo out out priv qualquer nível de intensidade tudo que tem a ver com autenticação esse arquivo aqui qualquer recurso em qualquer prioridade mas é quer dizer esse cara e Esse cara aqui None ou seja nada nenhuma in eu esque de falar tem o None que é assim não quero esse cara ou seja tudo de autenticação vai para cá tudo menos autenticação
vai para cá Chrome não tem um Dimon não tem o log Dion são controle dos serviços gerais que rodam em segundo plano mensagens do Kernel em qualquer intensidade mensagem do serviço de BSD de impressão lpr mensagem de serviços de e-mail por isso que teu servidor de e-mail faz log aqui tá ele manda pro Sislog e manda pro meil log recursos de usuário e aí você tem detalhamento também né Olha só eu quero log de informação básico do e-mail eu quero os avisos do servidor de e-mail eu quero os erros do serviço de e-mail não posso
separar isso aí e tem também o seguinte ó quando você seleciona uma prioridade por exemplo aqui orn eu tô pegando or No debug e info eu tô pegando ela e as anteriores a ela eu não quero eu quero esse cara aqui só pega qualquer recurso Desde que o nível seja especificamente debug não pego autenticação e não pego o eil a contrabarra é para quebrar a linha tá na verdade essa linha aqui é isso aqui ó a contrabarra el é para quebra de linha na verdade essa linha aqui é isso aqui ó Tá mas para visualmente
falando né 80 0 colunas por 25 linhas eles quebram isso para visualizar em tela menor mas basicamente é uma linha só então Qualquer recurso especificamente só com a prioridade debug menos esse e menos esse para cá mesma coisa recurso info vai pro var log message no Deb derivados log principal se log R Hat derivados log principal Messenger no Red Hat essa linha aqui manda pro messengers tá e o emerge emerge é o seguinte tá na merda qualquer recurso nível emergencial manda para qualquer lugar ó as qualquer lugar Qualquer lugar sabe o que que é qualquer
lugar inclusive qualquer terminal que tiver alguém logado manda para qualquer um daqueles tti Y naqueles terminais de modo texto e manda para qualquer terminal que tiver alguém logado eu posso mandar um log para um terminal específico se eu quiser tá então isso aqui é o conjunto da estrutura do RX log Então você tem um recurso e tem a prioridade para esse recurso Tá e para que esse cara possa trabalhar como servidor de log remoto recebendo escutando outras máquinas Eu Preciso Dizer para ele como ele vai fazer se ter ou se é o DP Tá feito
isso você reinicia o serviço né como eu tinha feito aqui e você confere se a porta tá aberta a porta tá aberta 514 DP beleza tá funcionando deixa eu ver aqui Johnson Cruz fala Johnson Fala aí meu camarada de mestre o mestre do aí falando com o Mestre do Linux show de bola Fernando Por que não consta o anacron junto aos demais olha só ele não tá interessado em serviço específico programa desculpa programa específico ele tá interessado em serviço aqui chrom qualquer servidor de chrom an chrom f chrom chrom d qualquer servidor de Chrome tá
ele vai fazer qualquer servidor de Chrome Por que não tem um log específico porque já tá aqui se eu quiser fazer um Log específico pro Chrome eu faço isso aqui ó quando eu quero colocar mais um conjunto de recurso e prioridade eu tenho que separar por ponto e vírgula nessa linha tá Chrome P None aí eu poderia ter um log só pro Chrome mas já tá aqui então eu não preciso fazer é por isso dá uma olhada lá nos logs Barra var Log out log então Ó esse log é pequenininho tem nada quase mé coisou
agora tal não quase teve erro de login Beleza fevereiro 28 bai que é o nome da máquina rost name serviço tal pid Pan Unix login session Quem foi sessão aberta para Rot o ID zero beleza falha criando usuário vbox apagou beleza aceitou password para Wagner ó sshd Foi remoto de onde Wagner veio a porta que o Wagner tem lá essa aqui SSH é 22 S 22 Então tá aqui beleza bai sshd login de sistem de PS o Wagner fez su para rut para quem Wagner trocou de Usuário para rut beleza que tal sess Open beleza
vag trocou PR root é assim que é um arquivo de log simples simples simples Tá só que esse log é da própria máquina Então como é que eu faço para que outras máquinas possam agora enviar o seu conteúdo para esse servidor de log que no momento tá é um servidor de log que está aceitando conexões ó está aceitando conexões Eu vou nas máquinas que eu quero tá aqui é o servidor de cheque MK eu vou nas máquinas que eu quero e digo pras máquinas o seguin atc rog.com ou eu posso vir aqui na rlog pd
e aqui ó log remoto.com tá e eu digo para esta máquina o que eu quero que seja enviado pro outro servidor tá então eu tenho o mesmo recurso ali de de mesmo objeto ali que é recurso né e prioridade facilidade Nível eu tenho o mesmo conjunto ali para mandar só que eu preciso fazer isso de uma forma que seja Claro para mim né O que que tá lá então por exemplo aqui eu quero só de autenticação mais nada out out PR Tá qual nível tudo não não só erro de autenticação eu quero tudo todos os
níveis de autenticação inclusive os Emergenciais e erro eu quero asações do kerni também eh eu quero tudo sobre a impressão que lá eu uso lpr por exemplo Então você tem que dizer o que que você quer que envie para lá na maioria dos casos tá na maioria dos casos todos os recursos com todas as prioridades vão para 192 aí que entra o seguinte quem é esse cara 16812 ta Men F bar log log deixar o log dessa máquina B aberta aqui System CTL Restart rlog ó rlog e só que aquar Jornal slog Aqui ó é
cmk era bai agora o nome do host É esse aqui então num servidor de log remoto como eu pobre mortal saberei quem está fazendo o quê isso aqui ó é a identificação da máquina é o hostname que ela envia pro servidor Então o local Envia o seu hostname e o remoto Envia seu hostname então eu sei que lá alguém Restart o serviço porque o serviço Fechou tá depois ó parou o serviço B ba ba iniciou o serviço iniciou o serviço de forma remota porque ele precisou enviar para cá ele usou o log para enviar para
cá Olha o apar dele me mandando dados ó aqui ó O rslog ó o Chrome ó o Chrome quem quiser saber o Chrome tá junto do sislog tá ó houve isso aqui ó deu um restart nele com o Microcore do do do do cheque MK blá blá blá o chrom fez um Reload ali nas configura botou no a Ah não a TCP por ele usa TCP lá Júnior Nogueira Juninho Boa noite primeira Live primeira sua né V me ajuda muito junto Valeu irmão isso aí é bom participando aí tu pergunta perguntar estão acordadão entendendo tá
tudo ok Ok beleza e toma ali log agora é do Bsai e agora vamos paraa minha máquina RTC rslog eu posso fazer isso tanto no próprio diretório separado igual eu fiz como posso fazer aqui ó eu posso ser específico posso ser genericão manda tudo é lógico que eu prefiro que você seja específico autenticação e-mail Kel isso é importante Chrome não é tão importante acontecer tá mas você pode mandar dependendo da máquina Então você tem que Ter ali ó uma noção que você vai fazer se você mandar tudo você tem que ter um filtro Brom do
outro lado ou um C bom te atendendo ó cmk a Spark busy todo mundo aqui então uma das coisas que as pessoas às vezes não entendem o que é importante na rede que as máquinas tenham nomes específicos para que você saiba quem é quem hnes diferentes para que você saiba quem é quem e para Nessas horas de registro Também acontecer você saber o que que tá acontecendo em cada uma E aí você vai ah mas mas agora como é que eu vou ler o log primeiro que isso aqui é um servidor de log esse cara
para você ler caso o principal te apresente alguma inconsistência ou não esteja acessível segundo não é para você mexer aqui é pro seu programa de análise de log que você vai ter aí você vai trabalhar com LK você vai comprar um cen de alguma empresa você vai trabalhar com o c da ti Não sei tá não é para você ficar acompanhando aqui mas Eu Wagner quero acompanhar isso aqui como é que ficam os logs aqui na máquina os logs de autenticação que são enviados para esse servidor vão para onde os logs de autenticação desse servidor
vão entendeu Então se esse cara não tem uma configuração nele para capturar log de autenticação tudo que for log de autenticação que esse cara enviar não vai ser capturado se esse cara aqui Envia log de e-mail e esse aqui não tem nenhuma captura de nenhum recurso de e-mail não vai vai ser vai jogar mas vai ser perdido Então são duas coisas que você tem que considerar quando você tá montando esse teu ambiente aqui quais os recursos mais importantes de cada máquina se você quiser ser específico tá Ou seja eu quero dizer exatamente o que que
eu quero que seja enviado desses caras pro meu servidor remoto ou eu quero enviar tudo que gerar Vanda para lá primeira consideração né seja específico ou genérico segunda consideração o servidor remoto está programado para receber aquele tipo de log para compreender aquele tipo de log porque ele vai jogar o log dentro dos logs dele que apresentem aquela característica então se você criou um log exclusivo para Chrome aqui no cliente o servidor tem que ter um log exclusivo para Chrome se você criou log exclusivo para serviço User ou serviço local tá basicamente nós temos esses recursos
aqui que eu mostrei tá tem mais o recurso e tem recurso de local zero a local 7 que que é local zero até local 7 tá é literalmente essas palavras aqui então seria uma linha dessa aqui ó local zero com prioridade warn Exemplo né que vai para vlog local zero traço qualquer nome né .log isso aqui é um exemplo né O que que É local zero local zero e local set são recursos que não são usados por ninguém por padrão que você pode configurar os seus programas para enviar seus logs para lá como é que
isso funciona então se o programa que eu falei se o programa foi compilado com suporte a sislog você consegue no teu programa dizer que ele vai usar o recurso local zero local um local 2 local 3 4 5 6 7 tá e quando ele enviar o log pro sislog ele vai dizer ó meu log é local zero se o Sislog não tem nada para capturar o local zero não vai se ele tem um Gené cão isso aqui é genérico Qualquer coisa Qualquer prioridade ele joga para cá mas se o teu se você tá separando bonitinho
aqui do teu lado o cliente separa bonitinho do lado do servidor para que ele possa funcionar bem ali então existem recursos que são tipo recursos Livres tá para você poder escolher o que que vai jogar Que tipo de programa vai jogar dados naquele recurso Então você tem muita forma de trabalhar com log tá então isso aqui é chamado Campo seletor isso aqui tudo é um campo seletor Isso aqui é uma ação o campo seletor porque isso aqui a chama de ação porque podia ser o o seguinte tá esse cara pode ir eu vou fazer isso
agora barra não esse cara aqui ó eu vou fazer Chrome ponto Qualquer coisa bar Dev bar ttyy 7 É não é bem o que eu queria mas eu vou fazer aqui por quê Porque eu tenho que vir na máquina virtual ó F2 F3 F4 F5 f6 F7 aqui ó consegui cair no terminal s tá vendo ele pode jogar o log direto para vou vou escalonar aqui ficou maior aqui ele pode jogar um log direto para um terminal pode ser um terminal de texto normal do um ao seis ou pode ser o s que nessa máquina
não tava sendo usado por ninguém essa Máquina aqui não tem gráfico no servidor porque servidor teria gráfico né ela não esse terminal não tá sendo usado por ninguém portanto eu posso jogar mensagens para lá Lógico que mensagem jogada num tty é mensagem perdida quando isso aqui ó sobe tela subiu a tela perdi foi pro buffer o buffer tem o limite acabou perdi você vai salvar em arquivo Mas você pode ter a ação né o destino do log ser qualquer coisa inclusive um terminal você pode mandar E aí ó eu já Vi gente fazer isso de
sacanagem não Dev mandou o log pra porta Dev lpt porta da impressora na época das Impressoras seriais para serial não paralela mandou pra porta da impressora em vez de sair log formulário contínuo lembra do formulário contínuo sacan sacanagem sacanagem ela sabia que ia dar merda mas fez assim mesmo isso voltar aqui ao tamanho Normal então você pode jogar o seu log para qualquer lugar essa ação né aqui o campo seletor e a ação você pode jogar para qualquer lugar inclusive um log específico só para dar um nome diferente do do sistema E aí os logs
estão vindo tanto log remoto quanto log local quando isso aqui tiver muita informação e aí você vai começar a usar o grap que você aprendeu comigo né grap Ck barv log sislog extrair só o que é do cmk Não eu só quero o que aconteceu depois das 8:20 né Depois das 8:20 então eu vou fazer um filtro aqui para pegar que esse campo aqui seja 20 e eh do né 20.2 FEB 28 20.2 depois das 8:20 E aí você vai fazendo filtros para poder pegar dados tá Mas se você quiser filtrar por cliente você pode
fazer um filtro com grap e separar os logs de tempos em Tempos separar os logs você pode fazer isso clon liba Boa noite cheguei boa noite menino Professor o cen separam logs por clientes ou tem como criar um arquivo para cada cliente no servidor não não olha só o o cen Ele lê log o cen eles programas que eles são feitos para ler os logs então você pode ter um cen que fala com essa máquina ler esses logs e nas configurações do ciência vai pegar o campo hostname ó eu quero que todo mundo com hostname
cmk você analise Nessa regra todo mundo com hostname Spark se Analisa nessa outra regra todo mundo com hostname B se Analisa nessa outra regra no ciência vai configurar como ele vai analisar isso aqui então entenderam aí não é difícil extremamente simples e aí eu me pergunto o consumo de recursos de uma máquina dessa É extremamente baixo É extremamente baixo o consumo de processamento de uma Máquina dessa É extremamente baixo por que que você já não Ten o funcionando a gente tá aqui uma hora eu já expliquei como funciona por que que você não tem isso
funcionar você vai dizer Wagner primeira vez que eu t vindo falar Beleza mas eu conheço gente que sabe dessas coisas o que que impede uma empresa de pegar uma Maquininha baratinha que ela comprou servid vamos comprar servidorzinho o mais barato que tiver no catálogo da HP da Lenovo para fazer isso Sei lá milzinho Bel 1 e pouquinho por eu tô falando servidor é servidor não confunda máquina que roda serviço com servidor servidor é servidor Então tem um hardw melhorzinho para aguentar aguentar tempo lá o que que Impede a a empresa de usar a máquina bem
pequena para fazer isso eu não digo VM pelo seguinte né VM provavelmente vai est rodando onde a su dmz Digamos que isso aqui seja tudo virtual lá no seu servidor de virtualização se o cara comprometer esse cara ele não vai ter de algum jeito acesso esse aqui vai na mesma rede então eu gosto de separar mesmo não t dizendo separar de não mas separar outra rede de IP e só através de Um pequena leve para fazer isso nada né custo disso ridiculamente baixo vantagem disso incrivelmente alta então tem gente que mesmo conhecendo essa possibilidade que
já conhece lindro que já conhece log não tá implementando isso aqui na sua infa Olha o consumo de recurso Ah só tem três máquinas você pode botar 50 máquinas aqui que isso aqui não chega a 1 GB porque é texto sendo escrito em texto A não ser que você tenha uma placa de rede muito ruim com muito problema de perda e tudo mais os pacotes vão chegar aqui rapidinho direto log direto log direto log que que te impede de botar um servidor desse aí e aí você lembrando Olha o desenho do Tio Wagner ela tá
isolada ninguém a não ser quem pode chegar nela e ninguém fala com serviço de log se não for permitido para Ela e aí aqueles teus serviços que tão diretamente acessíveis por fora ou pela própria rede nem todo inimigo tá aqui não tá tem muito inimigo que tá dentro da tua infra dentro da tua rede de PCs e aí você vai deixar o cara comprometer o cara ganhou o acesso a uma máquina local não tô dizendo essa máquina aqui essa máquina aqui é uma VM que tu criou para ligar acessar o SSH e fechar Ela só
fica aberta quando tu usa o SSH para mexer no servidor de Log você criou no Virtual Box na tua máquina do do trabalho e você ligou Ela acessou aqui mexeu desligou ela ponto então alguém da tua rede um outro pcin qualquer tá lá da tua rede foi comprometido e começou a atacar os teus servidores você não quer que isso seja registrado E se ele conseguir acesso e apagar não deu tempo para você não descobriu nem que esse cara tava comprometido quanto tempo Vai levar para você descobrir isso aqui pesquisas feitas em empresas né que passaram
por situações de segurança dizem que em média em média tá um atacante leva 3 meses para ser detectado em média um alguém que entrou na infraestrutura de uma empresa comprometeu de alguma forma nem que seja só para olhar ele leva três meses pra empresa descobrir que ele tá lá em alguns casos Seis 3S meses o cara lá dentro Eu tenho certeza que você ia gostar de ter isso aqui se tem coisa mais simples do que um servidor de log eu não conheço Gente o que que a gente fez aqui duas linhas nesse bendito arquivo porque
a maioria dos logs está pronto a maioria dos logs estava pronto É assim que vem no padrão A não ser que eu goste de fazer tudo E detalhado que eu gosto de criar meus log esse aqui vai para cá esse aqui a não ser que eu goste de fazer isso já tá pronto para capturar basicamente tudo que acontece e e detalhe se der mensagem emergencial lá naquela máquina você recebe aqui também porque aqui você captura emergencial vai aparecer na tua tela e você vai ver também tá e nos seus logs porque aqui pega tudo asterisco
asterisco se o Kernel de lá reclamar Você vai receber aqui também então Aqui foram no no no servidor duas linhas só para liberar se era TCP ou DP e qual porta porta padrão é 5114 não mude a não ser que você tem que mudar Lá também tem que mudar aqui tem que mudar nos clientes Não precisa se preocupar em mudar porta de L servidor de log não precisa no cliente que que você fez vergonhoso uma linha uma linha para dizer o que você quer mandar com qual Prioridade e para onde tudo que você enviado daqui
vai se misturar com os logs do Servidor aí ó ó Spark escreve cmk escreve daqui a pouco o próprio bai vai escrever aqui então Não tem motivo depois de hoje depois da aula do tio Wagner não tem motivo para você não começar se preocupar em guardar seu log mas Wagner você não falou que log e enche a máquina enche a máquina lógico e aí você vai fazer o seu trabalho de Controlar os logs E aí você vai usar um programinha que já tá na máquina você não precisa fazer nada com ele a não ser configurar
etc log rotate pcf o geralzão dele que não tem nada log genéricos quatro rotacion semanais se tiver vazio crio um novo específicos logrotate pd nome do serviço que você quer fazer o rotate vou aqui na ape dois todos os logs que tiver dentro de var log a parte do qualquer Coisa pon log são rotacionados todo dia não reclama se o log tiver faltando que é o Missing Ok mantenha 14 rotacion ou seja eu tenho log de 14 dias comprima os logs fo é importante log é grandão e texto né Às vezes eu consigo 90% de
compressão delay compr Ou seja comprima a partir do segundo log eu tenho o log de hoje eu tenho o log de ontem a partir daí é tudo comprimido e aí o log de hoje vai virar log P1 o log P1 vai virar log P 2. gz O 2. gz Vira 3. gz 4. gz até o log que era 14 pgz Man o 14 ah o 14 gz vai pro L tchau se eu perdi algo importante eu tinha que aumentar a qud de logs mantidos se o log tiver vazio me avisa gera log sobre o log
cria um arquivo com esse usuário essa permissão né usuário e grupo script compartilhado se eu tenho algum script que eu quero rodar na hora do rotaciono Eu boto ele aqui ó Shed scripts PR rotate antes de fazer o Rotaciono do log se existir esse cara aqui então Execute esse cara aqui partes final final do script P rotate depois de rotacionar Verifica se tem o processo do Apache tá Dev nul Então se o processo do apach existir dá um restart dá um Reload no apach tá e registre isso aí ó como dizendo ó o apach log
eh como texto apaste dois log rotate fim do script não tem motivo paraos seus logs encherem a Máquina não tem motivo pro seu log ench então o rotaciono ele pode ser diário semanal mensal eu pode fazer vamos ver outro vamos ver o APT rotar rotacionar 12 então tenho 12 log do do term log e o ST o histórico do APT né os dois log dois logs diferentes a mesma configuração podia ter feito aqui ó ó asterisco P log mas ele fez assim 12 logs rotacionados mensalmente 12 meses comprimi os log o primeiro log não é
comprimido A partir daí o log P1 Já é comprimido Se tiver faltando log e tá tudo bem Me notifica se o log tiver vazio só isso dpkg mesma coisa 12 mantém Então você tem aqui vários exemplos de como você vai criar o seu log então eu venho aqui né CD etc logrotate ó vou copiar aqui um exemplo que é o dpk vou copiar o dpkg para o Chrome full.log quer dizer. né vi Chome.com então ó vlog era full né perdi agora chome full.log então aqui é o nome do log chr traço full rotaciono semanal 52
logs eu quero manter o ano quase inteiro comprimir Ok no com quando o log rotate roda ele roda pelo Chrome todo dia de manhã Deixa eu subir Aqui todo dia de Chrome p da é configurado para rodar todo dia à 6:25 é padrão todo dia de manhã ele peg o log rotate executa esse script esse script aqui tudo que tá aqui executado pelo agendamento Chrome Daily que tá lá no TC tá todo dia ele vai rodar esse script às 6:25 todo dia de manhã ele rotaciona os logs de acordo com o que cada arquivo aqui
diz qual é a desculpa para você não ter um servidor de log funcionando e ter um rotaciono que vai te garantir que ele Não vai encher a máquina desnecessariamente lá Nino entendi Entendeu Beleza tá tranquilo tenho servidores VoIP físicos alocados no meus clientes tenho que usar urgente o RC log se você tiver VPN perfeito cara entre os entre a sua localidade e os clientes perfeito você vai fazer aquela integração via VPN tá E aí você vai né Lógico limitar viaf o que que pode passar ou não E aí você vai mandar o slot você vai
abrir Essa porta na internet mas se você tá integrado com servidor de de de de de vip que tá nos seus clientes captura os logs todos e manda para tu e faz o rotaciono do seus logs Everton Carvalho vai ter um servidor para gerenciamento tipo LK Não não é gerenciamento vamos lá o LK não é gerenciamento ele é basicamente um servidor de cen entendeu ele faz análise daquilo ali eh elastic C log stash que faz a parte De análise do log e que bana para fazer a lógica ali de de de de gestão dos relatórios
ele vai gerar relatórios a partir daí tá mas o log mesmo na verdade o que que ele faz ele Cri um sislog receptor você pode fazer nele um sislog receptor ele vai ter um sislog nele com a porta 54 aberta tá só que esses conjuntos é para análise porque na verdade o serviço de recepção é isso aqui mandou para ele e ele vai ter o log lá configurado para receber Vai ter o log lá configurado para receber ele vai ter um desse cara aqui com a porta aberta Então é isso que é então aí você
pode usar qualquer tipo de programa de análise de inteligência de log aí cara qualquer um log test log analyzer P tem um TR o LK próprio LK rel se log bana qualquer um paga programas pagos quer ver se tua empresa tem aí tu manda teus logs para lá centraliza agora não tem motivo para Você não garantir que seus logs vão estar lá não tem motivo para você não compreender que seus logs precisam ser salvos fora da máquina alvo a máquina alvo ela foi acessada o cara vai limpar o Rastro Douglas Portugal LK é bem robusto
e curva de aprendizado bem grande Ele é bem grande né o azul é bem mais tranquilo já usei o azul também gostei tá já usei o azul também gostei pode ser uma opção para quem né não quer tanta Complexidade na gestão tá ó outro cara que fazia isso era o osec que era um projeto criado por um brasileiro né osc rids Ele leu os logs para gerar relatórios ele foi incorporado em outros serviços de cen mas ele lê na parte de segurança então qualquer é programa que leia logs para gerar relatórios é amigo de um
sislog só que se você não tem o log como é que esse cara vai ler é a questão do comprometimento da Máquina Fabiano Machado Professor tu é bravo não cara eu fico bravo quando eu encontro pessoal não usando o mínimo de recurso que pode para fazer as coisas melhorarem tá bom vamos lá eh quantas empresas Vocês já viram passar por problema de segurança tá quantas empresas Vocês já viram passar problema de segurança Eu já vi dezenas dezenas de os quantas empresas podiam ter evitado o problema 80% delas eu sei que podia ter Evitado o problema
quantas empresas podiam ter pelo menos registros para que possa ser feita a parte legal da coisa forense eh mental processual da coisa 99% elas tinham não das que sofreram 99% podia ter registro daquilo ali e não tinha não tinha isso daí com que eu ao longo da minha da minha vida profissional de ti eu me deparei 9999% não tinha registro cara hum custa o que isso Aí nada nada Everton Carvalho criado pelo Daniel Sid ose osec rid cara se eu não me engano o Daniel Ele foi trabalhar na Trend Ele criou o osec e tal
A Trend gostou e contratou ele se eu me lembro foi na época não sei para onde foi depois tá mas por causa de um trabalho open source que ele criou e a Trend incorporou ose Sec para ela e começou a botar nos produtos dela continua P source você Pode instalar o osc aí Cleiton França Trabalhei na caixa eles passaram com a parte de segurança caixa gente o cara tem dinheiro para caramba mas tem coisas pequenas que fazem diferença então assim eu eu eu eu fico às vezes revoltado né Fico brabo aí não no sentido que
ele falou mas porque e Tem coisa que dá pra gente fazer e não custa ou custa muito pouco em relação ao Ganho é investimento ínfimo em relação ao ganho mas os caras não fazem pô mesmo sabendo que dá para fazer não faz não dá né Everton Carvalho já prestou serviço numa empresa que eu trabalhava estudante da UnB Eita rapaz os caras me caçando aí pelo mundo né espero que eu tenha feito serviço direito se é isso que você tá falando espero que eu tenha feito serviço Direito entendeu então cara você recomenda você vai lá e
diz cara faz isso aqui Aí o cara não isso aqui custa R 30.000 a empresa não tem como investir nisso agora não vamos fazer isso aqui não isso aqui custa R 100000 a empresa não tem como investir nso agora beleza eu entendo situação financeira agora isso aqui pô não tem como comprar um cisco asa beleza entendo é cara para caramba e já vi gente comprando cisco asa e deixando largado coisa pública né E deixando largado por 2 3 anos na caixa porque não tinha licitação para implementar Olha que lindo então mas assim isso aqui custa
nada nada qualquer R 1000 É um B servidor para isso aí R 2000 Wagner Eu costumo pegar um arquivo de log de por exemplo 5 GB usa um script para quebrar esse arquivo em vários né com Split e tal para cada um dia do mês utilizando filtro grap cara eu recomendo você mudar o rotaciono aí mesmo para Fazer filtro cara eh é é complicado né É complicado isso aí n fazer muda o rotaciono dele para diminuir por 5g é muito grande até para tu fazer um grap nele é muito grande demora muito tempo isso é
considerado adulteração depende aí aí você é questionável legalmente falando você mexeu no arquivo original você Manteve o arquivo original não então é adulterado legalmente falando é o arquivo original não tá lá para eu Comprovar Então se tá lá e tá rotacionado tá no padrão tudo certinho é original então se ele é muito grande compacta ele e joga para uma mídia externa só para armazenar esses caras quebra e deixa na mídia de visualização um lugar para visualizar e outro para guardar o original tá aí Aí sim não tem problema porque o cara vai olhar esse aqui
tá adulterado você vai aqui você tem que ter paciência porque ele é imenso ele vai lá é realmente se eu Pegar esse cara aqui e juntar tudo ele fica 100% igual esse aqui não tá adulterado você não tem como comprovar você fez algo depois do que a máquina gerou entendeu então né Então são coisas que que complic já viu caso assim que a justi questionou isso mas com o pessoal de de forense da da da da da da Polícia Federal já conversei com ele sobre isso Tá já conversei com ele sobre isso então para não
não não dar margem pro problema se acontecer manté o original para que ele possa ser se eu restaurar esses 10 pedacinhos eu viro um pedação igualzinho vira Então tá que entendeu então assim manté o original para fazer isso vamos lá tem dúvida aí pode perguntar assunto de hoje aí é tratar esses logs aí e garantir a integridade e segurança das informações geradas pelo Teu servidor isso aqui é o que você tem isso aqui é o que você vai criar lembrando uma rede diferente da dmz e diferente da rede interna acessível através do fal e totalmente
controlado Essa é a melhor posição para um servidor de log Ah mas eu quero usar o LK beleza ele tem um servidor de log nele que escuta Na porta 514 udp eu quero usar o ASO beleza ele tem o servidor de Lot escota Na porta 54 Deb pode olhar a especificação dele tá lá porque todo mundo que fala log fala padrão beleza pessoal tranquilo aí compreendido pessoal que me mandou eh eh mensagem lá no Instagram sei o pessoal pode perguntar aqui manda pelo Instagram o treinamento abre dia 14 14 de Março eu vou abrir inscrição
pro treinamento de Linux admin pro essa formação vai ser aberta e encheu encheu fechou fechou tá não tem chor odor Beleza então 14 de Março aí não esquece de clicar aqui assinar o canal se você não é assinante senta o like aí olha tremenda dica aí nada de complicado não fácil rápido para você melhorar a segurança e a conformidade da tua infraestrutura senta o dedo no like Compartilha o vídeo entendeu Não tem motivo hoje para você não ter pelo menos um servidor de lzinho rodando ali para garantir que os logs que você gera sejam enviados
para lá tá tem programas para Windows que convertem Ele para um formato mais ou menos x log e tal mas não é a mesma coisa não é a mesma coisa porque o log do do Windows não tem esse essa lógica padrão do log do Unix não tem tá não tem então mas é possível possível é ol lá bly sol daqui por hora tô suave adentrei na estação de Logos recentemente e apesar de ter pegado bem essa boa explicação ficarei no basicão ainda não cara não tem assim dúvida não É nada complicado tá nada ó tá
questão é sempre o seguinte entender que cada servidor Unix e Linux seu gera log Unix também tá BSD gera log e que se ele for comprometido você vai perder esse log comprometeu comprometeu o cara quer apagar o ele não quer que você saiba queele ele esteve lá eu não quero que você saiba que o rck éu servidor de banco de D não quero então o que que eu faço apago minhas entradas apago o histórico apago os logs coloco um script Meu que se oculta do BES entro com um best modificado entro com um um um
um SS modificado com netstat modificado para não mostrar porta aberta bota um script meu que fica de tempos em tempos Apagando os conteúdos que eu não quero ali do log Quando você olhar tá vazio não tem o que você tá procurando mas esse cara aqui registrou antes dess tudo isso aqui acontecer então antes dele apagar o espaços dele foi registrado é Para isso você tem que ter um cara aqui servidor de log daí paraa frente você pode dar continuidade a manter fazendo tudo que esses caras fazem e continuar registrando aqui de tempos em tempos você
ou seus programas E aí vai entrar um programa de análise um cen Um logs test qualquer coisa para olhar esses logs aqui e te apresentar coisas humanas né relatórios humanos para você poder ver o que tá acontecendo ali tá E poder Tratar o o o o assunto pô realmente olhei lá no servidor original não tinha nada mas eu olhei nesse outro aqui tava mostrando que pô realmente tá tá comprometido esse cara aí não tem eh dúvida de que alguém invadiu o o o servidor lá boa noite professoras inscrições amem a meia-noite do dia 14 quase
certo que sim tá mas acho que é abre a meia-noite do dia 14 sim vai abrir lá no meu site você vai ver os o o o botãozinho lá de de eh matricul se já E pode fazer que o hotmart já vai estar aberto lá Cleiton França Fiz o cadastro no site alguma prioridade Na inscrição final não prioridade não tem mas você vai ser avisado antes quem tá inscrito vai ser avisado por e-mail antes tá não é mas ó dia 10 11 12 lá já tá vindo o aviso por e-mail para você para quem tá
cadastrado lá aqui no Samuel falando de forense como é como é que o especialista por exemplo PF consegue saber qual arquivo Foi adulterado quais informações no log ele Analisa por exemplo data hora ele Analisa não só isso não tá ele vai no disco ele vê se houve gravação pós naquele por exemplo se eu tô com um arquivo né e o arquivo ele nunca foi alterado os blocos T um time stamp contínuo esse arquivo ocupa 1000 blocos eu gravei lá Nunca alterei aqueles 1 blocos tem o mesmo time stamp se algum bloco foi modificado o time
stamp muda do bloco tô falando do Arquivo não do bloco que se ele olhar só o arquivo tem como falsificar isso no sistema mas ele olha do Bloc o time stamp de cada bloco tem ferramentas né para isso então ele olha tudo tudo tudo para ver se houve alteração tá pode Cras explicações expandem nossa mente é cara sim eu eu trago aquilo que eu vivi o que eu passei problemas com as quais eu li dei ou que eu vi eu tento trazer aqui para que vocês possam ver aqui cara Eh sim não tem desculpa para
passar por certos problemas hoje em dia gisson Lima o curso é do básico ao avançado é cara o curso é o seguinte eu considero que mesmo que você não saiba você sabe ti você não sabe Linux você sabe ti você sem computador sem rede teclado mouse protocolo você essas coisas né rede e tal então eu considero isso E aí você vai aprendendo Linux do zero o que que é Linux que ser como é que o Linux surgiu Qual a função do Linux porque ele sa como é que instala o Linux né o Linux básico Linux
Como é que vai o o o o o Deb básico ou Deb mais avançado o head Hat básico head mais avançado né na na na figura do rock Linux tal e aí como é que a gente começa o que que é um Shell para que que serve como funciona tudo bem né do basicão mesmo e Crescente e depois que que é ker como é que é serviço como é que gerencia módulos como é que gerencia logs como é que gerencia eh eh eh inicialização como É que gerencia DNS tal tudo até os serviços vão sendo
complementados aí então é para quem não sabe nada ou já sabe alguma coisa quem já sabe vai aumentar o conhecimento né porque eu faço como eu faço aqui né só que com mais tempo eu vou detalhando melhor as coisas que estão lá então assim mesmo que você já saiba você vai aproveitar bastante se você não sai nada você vai aproveitar também porque não Considero que você prec precise saber algo de Linux então é realmente do zero não sei nada de Linux até querer ser um especialista em Linux aqui no Samuel legal é da da da
classe de forense sim então eles consideram muitas coisas tá consideram muitas coisas na análise de de forense então eles não vai só primeira coisa que muita muito cara bom faz ele pega o teu HD né Pior que eu tenho um aqui que eu desmontei um montei alguém hoje ele pega o seu HD isso aqui é aqueles HD de Notebook né de 2,5 ele pega o seu h bota no no na maquininha com outro HD de mesmo tamanho ol pá isso aqui é quant é com esse cara aqui 500 aqui é 500 GB ele vai pegar
na máquina 500 essa máquina faz um DD a máquina ela é feita para fazer DD tá DD faz uma cópia How desse cara aqui How bit a bit bloco A bloco Guarda esse cara aqui e analisa a cópia como a cópia é er ral ela vai ter exatamente o que tem no HD inclusive se Você apagou reag tudo que tinha no HD inclusive se você sobrescreve ele vai tá lá na cópia e ele vai analisar a cópia Porque se houver perda ou destruição o materal original continua ali A não ser que não consiga fazer por
algum problema físico ele vai analisar o original então ele analisa tudo Leon Lima perfeito é isso aí e eh eh o curso é para atender quem já tá e quem quer começar Cleiton França fiz o curso do irá Ribeiro já dá um Norte Claro que dá se você já tem já Conhece alguma coisa você vai aproveitar também o curso né mas lembrando assim eu procuro fazer dessa forma aqui né só que eu tenho mais tempo lá mas assim por que que as coisas são assim como elas funcionam como eu uso isso no meu dia a
dia né preparatório para lpi o foco não é lpi mas você vai ver como Ó você vai ver aí pelo menos 85% do que cai na lpi um e dois pelo menos 85% C lpi 1 e 2 que eu fui fazer a comparação naquela aula que Eu fiz de certificação eu falei ué o que não coloco lá coisas teóricas demais que não tem aplicação prática que você nunca vai usar coisas obsoletas Igual eu falei na aula de inicialização falei cara cobrar init no mundo de se estender não tem sentido tá coisa obsoleta demais coisas teóricas
demais que não usa que não faz parte do mundo real do Especialista do admin do forense do devops então mas é isso Você tem 85% no mínimo para fazer lp1 e Do o acesso é vitalício e recebe atualizações recebe atualizações o acesso vitalício você vai ver lá na no dia tá se ainda tem ou não né a você vai recebe atualizações sim pessoal se der tempo dá uma palinha do do comando shred shred o comando do shurek n a gente chamava de shurek Vai um shk aí tá Fabiano Machado perfeito Então beleza né da parte
da lpi cara o comando aproveitando aí né Daqui a quase já terminei a minha parte como eu falei Objetivo hoje log tá lá e log rotate Já botei uma palinha de log rotate eu vou chegar aqui IP barv loglog sislog passo copiei o arquivo do sislog aqui tá tá aqui um arquivo de texto que tem 48 KB é pequena é rapidinho né ah pegar o out log que tem 1 mega isso beleza o que que é o comando Shed o comando Shed ele é feito para destruir Dados tá destruir dados por qu no momento que
você faz isso aqui ó RM sislog ó vou limpar a tela aqui RM apaguei ele sim para mim e pro meu sistema apaguei ele pro disco tudo que eu disse foi o seguinte sistema operacional aqueles blocos onde o sislog estava estão livres estão livres você pode usar tá e o que Que tinha lá dentro ele foi lá e mexeu não senhor continua lá dentro então se eu simplesmente for lá pegar aques blocos e mandar olhar o que tem dentro e um programa que vai olhar do primeiro ao último vai saber identificar tanto que existe programas
de recuperação de arquivo né estelet photoac test Disk ele vai trazer o arquivo de volta Então apagar não significa apagar nem formatar significa apagar Tá o comando shred eu vou copiar de novo aqui Cat no out log né tá lá textão o comando shred ele pega conteúdo do Dev handle ou Dev urandom dependendo do que tá configurado nele é o é o pseudo aleatório na verdade não existe nada aleatório Tá mas ele pega um um dispositivo do do sistema ó ta Men F bar Dev Espero que isso não detone minha máquina bar Dev de tempos
em tempos ele gera Conteúdo aleatório ali pegando o final dele né ele pega o conteúdo do Random e sobrescreve cada byte ali dentro ele vai trocar cada byte por um byte aleatório qualquer só que por padrão ó out log só que por padrão ele faz isso 25 vezes olha o mesmo out log inclusive caracteres binários subscreveu tudo ali você pode ainda escolher quantas vezes ele vai fazer isso acho que é o - n ah - n Ah não Padrão é três o Random source é qual o arquivo Random então você pode escrever aqui faça isso
lógico Não exagera né Não exagera aí se o arquivo for muito grande vai horas fazendo isso sobrescrevendo aqui tá é lógico tem programas que recuperam 10 formatações você formata formata tem por que ele pega ali daqui dado parte gravada aqui mas aí são programas de alto nível de análise Forense e recuperação de dados Tá mas pra maioria um shred de 10 20 vezes já detona o conteúdo do dado não é o dado em si o arquivo existia Mas o conteúdo do dado não então se alguém tentar recuperar agora vai recuperar isso aí esse é comando
shad Cleiton Fran Professor Você acredita que realmente invadiram um TS é segundo informações um milhante Ficou meses mas os logs não foram encontrados cara é tão complicado essa questão de governo que você nunca Sabe o que que é verdade ou não tá não temos transparência ainda mais em certas áreas então é complicado dizer mas é possível que tem invadido é é possível que tenha comprometido isso na urna não eles invadiram foi a parte de gestão site banco de dados RH Tá mas não assim urna aí é outra história não vou entrar nesse mérito de jeito
nenhum aí é outra história Tá mas sim é possível e é possível do cara ter se escondido é é Possível ele ter eh eh se escondido de um servidor de log remoto bem feito dificilmente dificilmente se esse cara tá proteg se esse cara ele existe dentro da dmz Olha que bonito ele tá dentro da dmz acessível com todo mundo a dmz entendeu ele tá feito de uma forma separada isolado no canto dele é mais difícil o cara pod ter acesso entendeu por que eu desenhei esse cenário porque comprometer a tua infra e Comprometer o log
server É mesmo é aquela história o cara salva o backup dentro da de um disco da própria máquina é backup não é porque no dia que a máquina morrer pegar fogo perde tudo se a tua dmz fo comprometida compromete seu servidor de log tá na dmz então é Possível é mas né Se for bem feito você diminui muito a possibilidade de perder os logs remotos esse foto é bra pô recuperei muita coisa com Fotc recuperei muito arquivo não só de imagem não pessoal acha que foto é só foto não é não Ele recupera doc tudo
tudo recuperei muito arquivo que eu tinha problema de num HD com photoac com photoac Billy J sol explicação magnífica eu sabia pouca coisa curtia usar como parâmetro vz Fan 10 é mas não vale a pena não se for coisa séria usa o menos n ou e mudo Random se quiser mas essa explicação conteve coisas que não vi em Lugar nenhum grato isso cara fico feliz em ajudar Lembrando que não existe aleatoriedade né é uma pseuda aleatoriedade o Dev Random e o Random o Random é mais aleatório do que o Random só que o Random gera
mais caracter ele é mais rápido então você velocidade aleatoriedade mas manda gravar essa porcaria 50 vezes tá tudo certo beleza pessoal então não esqueçam nosso treinamento né a formação Linux admin Pro abre agora dia 14 esteja atento se você não tá inscrito se inscreva para ser avisado né se você não é assinante do canal assine dá like nesse vídeo eu compartilha e agora você já sabe não tem desculpa para você não gastar 1000 2000 e fazer uma máquina de log remoto sep ada linda para garantir a integridade dos dados ali e os teus logs vão
ter de preferência seguindo o esquema que o titi Wagner ensinou que é isolada numa rede separada que não é da tua rede Interna e nem da tua dmz filtrada por um Firewall e só acessível por alguém controlado tá é alguém isolad mesmo para que ele seja o que ele foi destinado a ser um cara que guarda conteúdos mas que não entrega conteúdo para ninguém a não ser que seja preciso beleza pessoal Obrigadão pela participação pela atenção aí hoje foi eh eh bem produtivo né Foi rápido mas foi objetivo e é para tratar um problema sério
que acontece nas empresas que é perda de dado para dentro De uma conformidade se você não tiver esse log aí tem um problema sério com lgpd Então tenha logs tenha logs beleza valeu pessoal obrigadão aí até a próxima abraço
