Una de las grandes fortalezas de OpenBSD como servidor y cortafuegos es precisamente la seguridad. Pero qué es la seguridad?, cómo se manifiesta?. En la mayoría de las veces se trata de ataques a través de internet, ataques que buscan entre otras cosas: acceder a nuestras máquinas para sacar información modificarla, o usar nuestra máquina para que realice trabajos que el atacante quiere hacer, generalmente maliciosos.

OpenBSD deja un registro muy completo en /var/log conocidas como bitácoras. para este ejercicio se van a usar algunas herramientas básicas:

  • less : ver una archivo
  • grep : muestra cadenas en un archivo
  • find : busca una cadena en un archivo o directorio
  • wc : cuenta cadenas en una archivo
  • dig : muestra información de un dominio
  • geoiplookup : muestra localización de una ip, no es muy precisa
  • gzip : descomprime archivos

A continuación un ejemplo de auditoria de una bitacora OpenBSD:

  1. hacer una copia de las bitácoras de /var/log en un directorio peronal.
    • cd /home/personal/
    • Crea un directorio para copiar el contenido de las bitácoras
      • mkdir bk_log
    • Se ubica en ese directorio
      • cd bk_log
    • Al hacer pwd debe aparecer /home/personal/bk_log
      • sudo cp /var/log/* .
  2. Descomprimir los archivos de la bitacora en su directorio personal
    • gzip -d *.gz

Es posbile que antes de descomprimir se deba cambiar los permisos para poder ver los archivos:

$ sudo chown usuario:usuario *

  1. Revisar los archivos a fin de derterminar puntos críticos sobre los
    archivos
    • authlog Muestra los accesos de los usuarios permitidos y rechazados
    • secure Muestra los comandos de los administradores sudo
    • daemon Los programas qu están corriendo en la máquina.

      • less authlog
  2. Para ver las líneas en las que aparece una cadena en especial, una ip por ejemplo:
    • grep "211.157.113.89" authlog

De esta forma podemos ver datos claves como ip desde donde se hace el ataque o intento de ingreso, fecha y hora con precisión.

  1. Para mostrar cuantas veces está esa ip en ese archivo

    • grep "211.157.113.89" authlog wc -l
  2. Para determinar en que archivos de la bitácoara hay información de esta ip
    $ find . -exec grep -l "211.157.113.89" {} ';'

  3. Para determinar en que lugar geográfico fue registrado el DNS del dominio

  • $ dig -x 211.157.113.89
  • $ geoiplookup 211.157.113.89

Luego de ubicar el dominio de la ip de donde proviene el ataque, se recomienda enviarle un mensaje en inglés señalando el ataque, con datos como:

  • Dominio que recibio el ataque,
  • Dirección ip desde la que se dirigió el ataque
  • La hora y la fecha precisa


Todas las herramientas usadas en este apartado less, find, grep, wc tienen sus repectivos manuales los cuales se pueden consultar con man por ejemplo:

$ man grep …