Centro de Investigación Informática Lazarus

Buscando los Registros del Sistema en Linux utilizando otra Perspectiva.

Systemd es un sistema de administración de procesos para sistemas operativos Linux y otros sistemas Unix. Está diseñado para reemplazar el sistema de administración de procesos original de Linux, SysVinit. Systemd ofrece mejoras en la administración de los procesos del sistema, como la capacidad de iniciar y detener servicios y procesos, verificar los errores del sistema, administrar los parámetros del sistema y administrar los registros del sistema.

Para un atacante, Systemd puede ser una herramienta útil para explotar vulnerabilidades en sistemas operativos Linux. Proporciona una gran cantidad de funciones para la administración de un sistema operativo, como procesos, sesiones de usuario, servicios, máquinas virtuales y mucho más. Algunos de estos servicios pueden tener vulnerabilidades que un atacante puede explotar para obtener acceso no autorizado al sistema. Además, también proporciona herramientas de administración que pueden ser útiles para un usuario malévolo para obtener información importante acerca del sistema.

Desde el punto de vista de investigación ante un evento informático , tenemos que tener en cuenta la información altamente valiosa que este sistema puede proveer , ademas de lo que un atacante no dudara en intentar ejecutar sobre este tipo de acciones una vez comprometido el sistema como parte de su desplazamiento lateral del mismo.

Los principales comandos de Systemd son:

  • systemctl: Para administrar y controlar los servicios del sistema, como activarlos, desactivarlos, reiniciarlos, etc.
  • journalctl: Para ver los registros de Systemd.
  • hostnamectl: Para cambiar el nombre de host de un sistema.
  • timedatectl: Para administrar la configuración del reloj del sistema.
  • loginctl: Para administrar sesiones de usuario.
  • systemd-cgls: Para ver una lista de los procesos en ejecución.
  • systemd-run: Para ejecutar un comando en un entorno aislado.
  • systemd-resolve: Para administrar la configuración de DNS.
  • systemd-analyze: Para mostrar información sobre el tiempo de arranque del sistema.

Comando importante:

systemd-nspawn:
Se usa para ejecutar una máquina virtual con un sistema operativo Linux dentro de otro sistema operativo Linux. Esta es una herramienta útil para probar sistemas operativos sin afectar el sistema host. El comando toma una imagen de sistema como argumento y la usa para crear un contenedor aislado. El contenedor se puede ejecutar en un ambiente aislado con sus propios procesos y recursos, lo que permite a los usuarios probar nuevas versiones de software o instalar paquetes sin afectar el sistema host. El contenedor se puede eliminar simplemente eliminando el archivo de imagen de sistema sin afectar el sistema host.

El comando journalctl es una herramienta de línea de comandos de systemd que se utiliza para ver y buscar en los registros del sistema. Por ejemplo, el siguiente comando mostrará los últimos 10 registros del sistema:

-[~] journalctl -n 10

Buscando los registros del sistema de un servicio especifico.

También puede usar el comando journalctl para buscar los registros por términos específicos, como el nombre del servicio o el PID. Por ejemplo, el siguiente comando mostrará los registros del servicio web Apache:

-[~] journalctl -u apache2

Muestra los inicios y reinicios del sistema

systemd
-[~] journalctl –list-boots

Muestra el espacio ocupado por los logs que muestra señales del compromiso del sistema

ystemd-espaciologs

-[~] journalctl –disk-usage

Actualizando paquetes del sistema en forma automatica. ( si queremos tener nuestras aplicacioes actualizadas)

NOTA:El servicio «apt-daily-upgrade.service» es un servicio de systemd en sistemas Debian y Ubuntu que se ejecuta diariamente para actualizar los paquetes del sistema. El servicio también se puede usar para actualizar el sistema a la última versión publicada. Para ver los registros del servicio, puede usar el comando journalctl:

-[~] journalctl -u apt-daily-upgrade.service

Para activar el servicio «apt-daily-upgrade.service» en sistemas Debian y Ubuntu, puede usar el comando systemctl para iniciar el servicio. Por ejemplo, el siguiente comando iniciará el servicio:

-[~] systemctl start apt-daily-upgrade.service

También puede usar el comando systemctl para habilitar el servicio para que se inicie automáticamente en el arranque del sistema:

-[~] systemctl enable apt-daily-upgrade.service

Para ver la lista de servicios de systemd en un sistema Linux, puede usar el comando systemctl con la opción list-units. Por ejemplo, el siguiente comando mostrará todos los servicios habilitados en el sistema:

-[~] systemctl list-units --type=service –state=enabled

también puede usar el comando systemctl con la opción list-unit-files para ver todos los archivos de unidad de systemd en el sistema. Por ejemplo, el siguiente comando mostrará todos los archivos de unidad del sistema:

-[~] systemctl list-unit-files

También los invitamos a unirse a nuestra comunidad en Telegram Lazarus Venezuela, donde están los especialistas en Ciberseguridad unidas a las Ciencias Jurídicas, puede ingresar al siguiente enlace:

https://t.me/LAZARUS_VENEZUELA

Deja una respuesta

¿Conoces el Grupo Lazarus?

× ¿Cómo puedo ayudarte?