Kali Linux Revealed

This example assumes that you are using ifupdown to configure the network interfaces. If you
are using something else (like NetworkManager or systemd-networkd), then refer to their respective
documentation to find out ways to execute a script after the interface has been brought up.
7.5. Monitoring and Logging
Data confidentiality and protection is an important aspect of security but it is equally important
to ensure availability of services. As an administrator and security practitioner, you must ensure
that everything works as expected, and it is your responsibility to detect anomalous behavior and
service degradation in a timely manner. Monitoring and logging software plays a key role in this
aspect of security, providing insight into what is happening on the system and the network.
In this section, we will review some tools that can be used to monitor several aspects of a Kali
system.
7.5.1. Monitoring Logs with
logcheck
The
logcheck
program monitors log files every hour by default and sends unusual log messages
in emails to the administrator for further analysis.
The list of monitored files is stored in
/etc/logcheck/logcheck.logfiles
. The default values
work fine if the
/etc/rsyslog.conf
file has not been completely overhauled.
logcheck
can report in various levels of detail: paranoid, server, and workstation. paranoid is very
verbose and should probably be restricted to specific servers such as firewalls. server is the default
mode and is recommended for most servers. workstation is obviously designed for workstations
and is extremely terse, filtering out more messages than the other options.
In all three cases,
logcheck
should probably be customized to exclude some extra messages (de-
pending on installed services), unless you really want to receive hourly batches of long unin-
teresting emails. Since the message selection mechanism is rather complex,
/usr/share/doc/
logcheck-database/README.logcheck-database.gz
is a required—if challenging—read.
The applied rules can be split into several types:
• those that qualify a message as a cracking attempt (stored in a file in the
/etc/logcheck/
cracking.d/
directory);
• ignored cracking attempts (
/etc/logcheck/cracking.ignore.d/
);
• those classifying a message as a security alert (
/etc/logcheck/violations.d/
);
• ignored security alerts (
/etc/logcheck/violations.ignore.d/
);
• finally, those applying to the remaining messages (considered as system events).
167
Chapter 7 — Securing and Monitoring Kali Linux

ignore.d files are used to (obviously) ignore messages. For example, a message tagged as a cracking
attempt or a security alert (following a rule stored in a
/etc/logcheck/violations.d/myfile
file) can only be ignored by a rule in a
/etc/logcheck/violations.ignore.d/myfile
or
/etc/
logcheck/violations.ignore.d/myfile-
extension
file.
A system event is always signaled unless a rule in one of the
/etc/logcheck/ignore.d.
{paranoid,server,workstation}/
directories states the event should be ignored. Of course, the
only directories taken into account are those corresponding to verbosity levels equal or greater
than the selected operation mode.

Download 11,68 Mb.