Auditando com Snoopy
Dica publicada em Linux / Segurança
Auditando com Snoopy
Pessoal, iremos abordar o sistema de auditoria chamado Snoopy, é uma ferramenta muito simples, porém, extremamente poderosa.
Quando falamos em log de usuário do sistema, logo nos referimos ao "auth.log", ele nos mostra o registro de comandos como su, sudo, conexões SSH, etc...
Porém, não mostra o que o usuário "cosmos" fez após ter se logado no sistema, aí é que entra o Snoopy. Com ele, conseguimos saber exatamente quais comandos foram executados por qual usuário, que horas, qual foi a PID gerada, qual o UID do usuário, enfim, é uma ferramenta que nos ajuda bastante na hora de alguma auditoria.
E ela se torna ainda mais poderosa quando está trabalhando junto com um servidor de log remoto, como o Syslog-NG, por exemplo.
Para saber como configurar um servidor de log, siga as instruções no link abaixo:
Bem, chega de papo e vamos colocar a mão na massa, para instalar o Snoopy é só executar (em distribuições baseadas no Debian):
# aptitude install snoopy
Durante a instalação do Snoopy, ele irá perguntar se você deseja inserir a biblioteca dentro do arquivo "/etc/ld.so.preload", clique em 'Sim', para confirmar.
Depois do Snoopy, instalado é só digitar:
# tail -f /var/log/auth.log
Para acompanhar os logs inseridos no arquivo em tempo real, e em outro terminal, logar com algum usuário e executar alguns comandos do dia a dia para ver o que acontece no /var/log/auth.log.
Bem pessoal, é isso aí.
Espero que este tuto seja útil pra vocês, até a próxima.
Dica previamente publicada em:
Quando falamos em log de usuário do sistema, logo nos referimos ao "auth.log", ele nos mostra o registro de comandos como su, sudo, conexões SSH, etc...
Porém, não mostra o que o usuário "cosmos" fez após ter se logado no sistema, aí é que entra o Snoopy. Com ele, conseguimos saber exatamente quais comandos foram executados por qual usuário, que horas, qual foi a PID gerada, qual o UID do usuário, enfim, é uma ferramenta que nos ajuda bastante na hora de alguma auditoria.
E ela se torna ainda mais poderosa quando está trabalhando junto com um servidor de log remoto, como o Syslog-NG, por exemplo.
Para saber como configurar um servidor de log, siga as instruções no link abaixo:
Bem, chega de papo e vamos colocar a mão na massa, para instalar o Snoopy é só executar (em distribuições baseadas no Debian):
# aptitude install snoopy
Durante a instalação do Snoopy, ele irá perguntar se você deseja inserir a biblioteca dentro do arquivo "/etc/ld.so.preload", clique em 'Sim', para confirmar.
Depois do Snoopy, instalado é só digitar:
# tail -f /var/log/auth.log
Para acompanhar os logs inseridos no arquivo em tempo real, e em outro terminal, logar com algum usuário e executar alguns comandos do dia a dia para ver o que acontece no /var/log/auth.log.
Bem pessoal, é isso aí.
Espero que este tuto seja útil pra vocês, até a próxima.
Dica previamente publicada em: