auditd et Debian

Top Page

Reply to this message
Author: Guillaume Allegre
Date:  
To: guilde
Subject: auditd et Debian
Salut,

Je signale ici un logiciel très intéressant pour les admin sys qui
voudraient superviser de façon fine leur machine (débogage d'appli ou
recherche de failles de sécurité).

Il s'agit d'audit, qui est composé d'une partie noyau (audit, doit être
compilé en dur) et d'une partie en espace utilisateur (le démon auditd
et les utilitaires de recherche dans les logs).

Ce logiciel permet de mettre en place des logs qui surveillent
l'activité du noyau, essentiellement de deux façons :
1. des "watchpoints" sur le système de fichiers, sur un fichier ou un
répertoire. Dès que le fichier est modifié, ou lu, ou exécuté, l'action
est logguée
2. une trace des appels systèmes, avec une grande souplesse dans la
sélection du filtre.

Bizarrement, j'ai découvert ces utilitaires sur une Redhat, qui les met
en avant, alors que ma distro favorite, Debian, ne les a pas encore intégrés
(depuis deux ans !).
Pour les admin sys debian, on peut trouver une discussion ici :
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=311214

Et des paquets debian récents (pas encore officiels) ici :
http://pint.pmhahn.de/pmhahn/debian/etch/a/audit/

Les sources upstream (auteur S. Grubb, de chez Redhat) :
http://people.redhat.com/sgrubb/audit/

Un tutoriel sur l'utilisation du watchpoint (basique) :
http://www.cyberciti.biz/tips/linux-audit-files-to-see-who-made-changes-to-a-file.html


En espérant que d'autres trouveront ça intéressant...

-- 
 ° /\    Guillaume Allègre  
  /~~\/\   Allegre.Guillaume@???
 /   /~~\    tél. 04.76.63.26.99