Kali Linux Forensics Notes

001

Published on: 2026-07-03

Create the instance

Instala logcheck, una herramienta que revisa automáticamente los archivos de log del sistema:

  1. kali@kali:~$ sudo apt-get install logcheck

Ejecuta logcheck como el usuario logcheck (no como root) — el paquete crea automáticamente ese usuario de sistema de baja privilegios, precisamente para minimizar el riesgo si la herramienta misma fuera comprometida

  1. sudo -u logcheck logcheck -o

  1. Establecemos un record:

    kali@kali:~$ wget https://raw.githubusercontent.com/danielmiessler/SecLists/master/Passwords/Common-Credentials/500-worst-passwords.txt
    kali@kali:~$
    kali@kali:~$ hydra -l kali -P 500-worst-passwords.txt 127.0.0.1 ssh
    kali@kali:~$
    kali@kali:~$ tail -f /var/log/auth.log
    kali@kali:~$
    kali@kali:~$ sudo -u logcheck logcheck -o
    kali@kali:~$

Deberia estar activo el servicio o no ejecutara nada.

  1. Recomendacion, ejecuta este comando para que no rechace:
hydra -l kali -P 500-worst-passwords.txt -t 4 127.0.0.1 ssh
  1. Luego escribe un bash script similar a este:

    kali@kali:~$ mkdir -p /data/
    kali@kali:~$
    kali@kali:~$ sudo -u logcheck logcheck -o > /data/$(date +"%m-%d-%Y-%T").log
    kali@kali:~$
  2. hazlo Ejecutable y mandalo a la ruta: /etc/cron.hourly

  3. Luego instala tripwire y configura los archivos que quieres proteger:

kali@kali:~$ sudo apt-get install tripwire # yes, yes, yes, yes
kali@kali:~$
kali@kali:~$ sudo nano /etc/tripwire/twpol.txt # list the directories and files you want to protect
kali@kali:~$

Tip’s que estoy collectando, puedes escribir a mi cuenta x.com si tienes alguna duda. Collected Field Techniques