Log de conexiones de usuarios en Unix SCO Openserver 6.0
Posteado por: Gabriel en: Abril 30, 2008
La semana pasada se dio la necesidad de revisar los logs de conexiones de usuarios de un servidor Unix, específicamente un SCO Openserver 6.0, en realidad lo que estaba buscando era un log en el cual aparezca el login de los usuarios con el que se conectaron al servidor y las direcciones IP o nombres de los Host’s desde donde lo hicieron. El protocolo por medio del cual se conectan los usuarios es telnet, ya se que dirán que el protocolo telnet es poco seguro, lo se pero no está a mi alcance promover el cambio a un protocolo más seguro como sería ssh, sin embargo, en este caso me tocó ayudar en la investigación.
Como yo estoy más acostumbrado a Distribuciones GNU/Linux, encontrar todos los logs es una tarea muy simple ya que todos se encuentran en el directorio /var/log de forma muy organizado, sin embargo, los Unix tienen la particularidad de tenerlos en otros lugares, por ejemplo, algunos de los logs del Unix SCO Openserver 6.0 se pueden encontrar en /var/log (Casi siempre de servicios GNU), /var/adm, /usr/adm, etc, pues bien, hasta ahí todo tranqui, no es tanto problema acostumbrarse a otros directorios de logs.
Busqué un log que contenga información acerca de las conexiones de telnet, primeramente me puse a verificar si el archivo syslog tuviese esa información pero el servicio syslog no estuvo correctamente configurado para llevar ese tipo de control, luego, buscando en la red encontré que en el archivo wtmp y en algunos casos en el archivo wtmpx (archivo con información extendida al contenido de wtmp, no todos los Unix utilizan este archivo extendido) estaría la información que yo necesitaba y en definitiva así fue.
Estos archivos son binarios y para desplegar la información que contienen es necesario utilizar el comando last. Si ejecutamos el comando last sin pasarle ningún argumento, éste desplegará la información contenida en el archivo wtmp, en mi caso la información que alberga el Unix SCO Openserver 6.0 en el archivo wtmp no me sirvió ya que en este archivo no se guarda la dirección IP o nombre del host desde donde se produjo la conexión y es ahí donde entra a jugar el archivo wtmpx.
Para desplegar la información del archivo wtmpx necesitamos pasarle como parámetro al comando last la ubicación del archivo como por ejemplo:
Comando shell:
server# last -W /var/adm/wtmpx (En el Unix SystemV de AT&T y en GNU/Linux se utiliza el argumento -f para indicar una ruta de archivo).
La información que desplegará este comando es como sigue:
maplaya1 p3 ttyp3 3085 playa1 Sun Apr 27 05:34 13:02 ??
maplaya p2 ttyp2 3072 playa Sun Apr 27 05:32 14:27 ??
maplaya p1 ttyp1 3060 playa Sun Apr 27 05:31 14:31 ??
...
Pensando que ya tenía todo a mi disposición me encontré con una cruda realidad, el contenido de los archivos wtmp y wtmpx solo se remontaba a lo que iba de la semana en curso, no había registros de semanas ni meses anteriores, algo que me sorprendió mucho, no lo podía creer, esto me imposibilitó obtener la información que tanto necesitaba para resolver el caso, dejándome una pregunta, ¿Como puede ser que este Sistema Operativo tan famoso solo registre los acontecimientos de la semana actual?, me fije en mis servidores GNU/Linux y pude constatar que dejaban como mínimo 2 meses estos archivos antes de limpiarlos (el openSuSE mantiene mas copias de meses anteriores aún, aunque en todos los GNU/Linux esto es configurable en /etc/logrotate.conf, que es una herramienta (logrorate) que realiza copias de seguridad de archivos logs y que se instala y se ejecuta por defecto en la mayoría de los linux).
Siempre sostuve que los Unix soy muy fiables, pero así también muy toscos, cosas como estas me molestan, aunque quizás tengan sus razones, hay cosas que pudieran mejorar para facilitar y agilizar el trabajo a los administradores del SO, así que sin más remedio me puse a investigar cual era la causa de que solo mantuviera el registro de conexiones de la semana en curso, este mismo caso era visible también en otro servidor en el cual corría un Unix SystemV de AT&T.
Después de investigar un buen tiempo descubrí que hay un script llamado cleanup en el directorio /etc que limpia los archivos wtmp y wtmpx, pero lo peor es que había una tarea programada que ejecutaba este script cada domingo a las 5:17 hs. sin ni siquiera hacer una copia de seguridad antes, esto lo pude constatar estando conectado con el usuario root y ejecutando el comando crontab -l, al percatarme de este grave error en la configuración que afecta directamente la seguridad le consulté a los administradores si habían registrado esa tarea programa a lo que me respondieron que no, así que supongo que la misma se registró por defecto durante la instalación del sistema operativo, el mismo caso lo tenía el SO Unix SystemV de AT&T. Viendo esta paupérrima configuración que teníamos para nuestro contexto de seguridad, prepare un script que hace una copia de seguridad automática de los archivos wtmp y wtmpx antes de que estos sean vaciados.
Así que a tener cuidado con estos aspectos de seguridad, los registros de log son de mucha importancia y siempre se necesitan en el momento menos esperado, a veces nosotros los administradores no nos tomamos el tiempo para hacer las configuraciones pertinentes y en muchos casos ni siquiera estamos en conocimiento de como hacerlo.
14 comentarios para "Log de conexiones de usuarios en Unix SCO Openserver 6.0"
Septiembre 17, 2008 a 3:38 pm
Hola Gustavo, la verdad que conseguir material en español relacionado a administración es bien difícil cuando hablamos de SO Unix, en Ingles hay de todo, pero muchas veces son incomprensibles para muchos (me incluyo jeje) y otras veces son más publicidad que otra cosa.
Sin embargo, hay muchos documentos en la red relacionados a seguridad y administración de S.O. GNU/Linux que te pueden ser de mucha ayuda, solamente es questión de enfocarse hacia un tema y buscar, en este post solamente traté uno de los tantos temas que fue acerca de los archivos logs y lo fundamental que son para cualquier admin en situaciones complicadas.
Saludos.
Septiembre 18, 2008 a 9:56 am
Gracias gabriel por la respuesta lo que pasa es que soy nuevo en esto de las administracion de So en particular sco estoy por graduarme de la universidad y lo poco que se de gnu/linux lo aprendi por mi cuenta, pero que estoy trabajando encontrarme con estos mostruos de sistema se me hace un poco complicado, una cosa es aprender por su cuenta y otras hacerla bajo presion por que se deja sin trabajar a 20 usuarios asi que te encargaria por favor si tuvieras bibliografia podias enviarmelo ami correo es gustavoropeza@gmail.com o weno al tavo_ocsc@hotmail.com
Septiembre 18, 2008 a 10:37 am
Donde trabajo tenemos aprox. 150 usuarios conectados, y si, es complicado jugar con servidores que se encuentran en producción, por eso es importante tener siempre uno de prueba, ten en cuenta que las pruebas las tenes que hacer si o si en un equipo que no se encuentre en producción aunque te estés basando en una guía oficial (siempre salta algún imprevisto), así no pones en peligro el trabajo de los demás
Con respecto a la documentación, veré si encuentro algo relacionado a SCO, hasta ahora no encontré ninguna guía decente, la mayoría en ingles gracias a san google.
Saludos.
Septiembre 19, 2008 a 10:15 am
Ok gracias nuevamente y si tienes en ingles no importa puedes pasarmelo por favor los mas cristianos que tengas en ingles no importa gracias nuevamente
Enero 27, 2009 a 2:06 pm
Hola gabriel nuevamente saludarte esperando q te encuentres bvien mi consulta es si podrias hablar de como verificar desde que hora perdio conexion el servidor sco o desde q hora se colgo o desde la ultima conewxion revise le wtmpx pero solo hay conexiones de usuarios
Enero 28, 2009 a 6:29 am
Hola Tavo, la verdad que no se en donde se puede encontrar esa información en forma clara, en el directorio /usr/adm podrías verificar los últimos eventos registrados en el archivo messages o syslog antes de que se haya generado el error.
Saludos.
Abril 4, 2009 a 4:01 pm
hola, me gustaria saber como hago para ver los usuarios conectados en las ultimas x horas.
Abril 7, 2009 a 6:52 am
Hola Pepe
Que yo sepa, lo podes hacer con el comando last, otro no conozco, y si necesitas filtrar un día en especial podes utilizar el comando grep para ello, saludos…
Septiembre 11, 2009 a 10:51 am
Hola gabriel quiero hacerte una pregunta tengo un problema con el unix sco cuando ingresan varios usuarios se cuelga la tarjeta de red deja de responder a los ping incluso, esto es debido a ?
Un problema del unix, problemas de red, tengo que reinciar la pc para que levante el servicio por favor que puedo hacer.
Septiembre 12, 2009 a 11:48 am
Hola Gustavo, la verdad que hace un tiempo atrás mi jefe me comentó que un SCO Openserver 6.0 recién instalado en un servidor DELL perdía la conexión a la red cada tanto y creo que la solución para eso fue utilizar una tarjeta de red bien soportada por el Sistema Operativo, según tengo entendido las Intel Pro están bien soportadas(parece que las 3com también), claro que si tu versión de SCO es más viejita deberías ver que tarjeta de red es la apropiada.
Quizás la tarjeta de red ni siquiera sea tu problema, pero es lo que se me ocurre y de lo que tengo referencia.
Saludos.
Septiembre 14, 2009 a 10:59 am
Gabriel te cuento que pude resolver (A medias)este problema lo que hice fue algo tan sencillo que daria pena comentar, pero a veces las cosas sencillas son las mas complicadas, tuve que apagar todo mi sistema (Lamentable) todos los aparatos informaticos, obviamente no en horas de trabajo e ir levantando uno por uno ya que existia un dispositivo que me generaba trafico, y esto al paracer causaba, manejamos un sco 5.05 (¿NO tiene autolink?) no reestablece su servicio
Septiembre 14, 2009 a 11:22 am
jaja suele pasar eso de que algunos enigmas (que realmente no lo son) se suelen solucionar luego de reiniciar un equipo, la verdad que no estoy muy metido en el entorno SCO, supongo que debería tener algún método para reiniciar un servicio independientemente de los demás, en fin, espero que no tengas más conflictos con tu tarjeta de red.
Saludos.
Noviembre 5, 2009 a 2:52 pm
Buen Dia ..
Para ver sime podrian ayudar quiero ver en que logs puedo encontrar los ips de las maquinas que tratan de logearse a un server y con que cuenta se tratan de logear..
ya que esto me esta ocasionando vastante trabajo al tener que estar desbloqueando dichas cuentas …
Muchas Gracias ..
Salu2
Escribe un comentario
Correo Electrónico
Para cualquier consulta, sugerencia, críticas, etc., pueden enviar un correo a:
La imágen
Ídolos: Adam y Jamie de Mythbusters
Comentarios recientes
 | JOHN OLIVER en USVN, una herramienta web para… |
 | Alexis en Cambiar directorio raíz de Usu… |
 | Jorge Santa en Seleccion de Fuentes y Estilos… |
 | Elvis en MexAnime.org temporalmente… |
 | Akashiya Moka en MexAnime.org temporalmente… |
 | jhon en Herramientas gráficas para con… |
| Cesar en Log de conexiones de usuarios … |
 | Jorge en Manual para configurar Subvers… |
 | pepe en Manual para configurar un Serv… |
 | eduardo en Seleccion de Fuentes y Estilos… |
Fotos Flickr
|
Tira Ecol
Planet SuSE
- Mauro Parra Miranda: Mudandome Noviembre 30, 2009
- Mauro Parra Miranda: Usando Tor Noviembre 30, 2009
- Mauro Parra Miranda: RMS en la ESIME Culhuacan Noviembre 30, 2009
Septiembre 17, 2008 a 11:45 am
Muy buen comentario y me gustaria saber mas sobre administracion me podrias sugerir algunos sitios para leer mejor si estan en castellano te agradezco de antemano.