Le Fri 23 Jun 2006 à 14:48 +0200, Patrice Karatchentzeff a écrit :
> Le 23/06/06, Guillaume Allegre<allegre.guillaume@???> a écrit :
> >Salut,
> >
> >Je cherche un service Linux qui serait capable de journaliser (mettre
> >dans un fichier log, quoi) toutes les altérations(1) de tous les fichiers
> >du système, ceci dans une optique de sécurité : avoir des traces
> >en cas d'intrusion par exemple.
> >
> >Je précise que ce qui m'intéresse c'est bien de surveiller tout le
> >filesystem, et pas tel ou tel fichier, donc famd ne convient pas (en
> >dehors du fait qu'il marche mal).
> Et j'oubliais : je compte aussi l'apparition et la suppression de
> fichiers.
> Je ne comprends pas pourquoi tu parles de noyau... tu le fais toi-même
> (et cela doit exister de toute façon) : tu fais pour chaque fichier
> l'ensemble des paramètres que tu veux tester (atime, ctime, droits,
> etc.) et tu ajoutes le MD5SUM à la suite.
En gros, tu viens de décrire le fonctionnement de Tripwire, mais ce
n'est pas ce que je cherche : j'utilise déjà TW, et je cherche un
service qui fonctionne en complément.
Merci aussi à Xavier, Jean-Marc et Hervé, qui me proposent des clones de TW
(afick, aide, samhain, integrit), mais même réponse.
Il y aurait d'ailleurs un boulot d'évaluation comparative à faire entre
toutes ces alternatives, mais je n'ai pas le temps.
TW ne permet pas à ma connaissance de repérer par exemple l'apparition
d'un nouveau fichier, son exécution et sa suppression, par exemple.
Si on veut repérer une faille de sécurité inconnue, par exemple, ça me
semble un service utile.
Si je parle de noyau, c'est que je pense que la façon la plus sûre de
faire ça c'est d'intercepter les appels système d'ouverture de
fichier. Après les implémentations pourraient varier : gestion d'un
fichier de log directement par le noyau, communication avec un service
en espace utilisateur, etc.
Il faudrait sans doute une implémentation assez rusée pour que les
performances globales du système n'en souffrent pas trop, mais je pense
que c'est pas perdu.
Le Fri 23 Jun 2006 à 15:03 +0200, Jean-Marc Coursimault a écrit :
>
> Le pb, c'est que sur un système Linux vivant (disons un serveur Web)
> il y a une tonne de modifications légitimes en permanence.
Exact.
> Suivre ces modifs au jour le jour et trier entre les légitimes et les
> autres est à peu près invivable. Autant faire des sauvegardes.
Le but n'est pas de les suivre au jour le jour, mais uniquement de les avoir
pour faire une analyse post-intrusion le cas échéant.
Tous seuls, ces logs seraient sans doute inutiles, mais couplés aux autres
systèmes de surveillance, ils donneraient des indications complémentaires
très utiles.
> J'utilise Msec sur Mandriva....
Tu peux en dire plus ? De ce que j'ai pu lire, Msec est un paquet qui
contient plusieurs utilitaires. Tu penses au(x)quel(s) en particulier ?
--
° /\ Guillaume Allègre
/~~\/\ Allegre.Guillaume@???
/ /~~\ tél. 04.76.63.26.99
