O que é timestamp no Unix?

O timestamp (log de tempo – data e hora) no unix é uma forma de controlar o tempo como uma execução total de segundos. Esta contagem começa no Unix Epoch em 01 de janeiro de 1970. Portanto, o timestamp de tempo no unix é apenas o número de segundos entre uma determinada data Unix. Isto é muito útil para sistemas de computadores para o acompanhamento e tratamento de informação datada em aplicações dinâmicas e distribuídas ambos on-line e no cliente.

Easy timestamp convert. – Conversor Fácil de Timestamp

http://www.timestampconvert.net/index.php

Um exemplo de timestamp em arquivo de log, é criado no auditd que fica em /var/log/audit/audit.log no Debian/Ubuntu:

# vi /var/log/audit/audit.log

type=DAEMON_START msg=audit(1296217742.226:4554): auditd start, ver=1.7.13 format=raw kernel=2.6.35-25-generic auid=4294967295 pid=7382 subj=unconfined_u:system_r:auditd_t:s0-s0:c0.c255 res=success

No conteúdo do arquivo, veja o campo “msg=audit(1296217742.226:4554):” (sem aspas) o número “1296217742″, por exemplo representa “Fri, 28 Jan 2011 12:29:02″, é o dia da semana, o dia do mês, mês, ano, hora, minuto e segundo. Já 226:4554 seria centésimos de segundos e após “:” milésimos de segundos.

Mas o que isso tem a ver com segurança? Tudo, pois ao logar qualquer usuário, inclusive um atacante será precisamente registrado. Mas se o atacante apagar os logs. Podemos criar uma forma de redundância em real time, para backup remoto de logs, o que onera um pouco a performance da rede, mas garante maior credibilidade na comprovação de uma invasão.

Timestamp, é uma form antiga e precisa de composição de data e horas, que é muito usado em ambiente UNIX-Like e algums SOs Windows.

Ele também pode ser facilmente alterado (depois que o alvo é comprometido), via Metasploit, com uma precisão igual. Verifique alguns artigos do usuário “espreto” aqui no SL e no VOL, brother nosso.

No próximo artigo falarei sobre backup remoto de logs e quem sabe, sobre metasploit sobre timestamp.

Até mais!

@firebitsbr