Pessoal, iremos abordar o sistema de auditoria chamado Snoopy, é uma ferramenta muito simples, porém, extremamente poderosa.

Quando falamos em log de usuário do sistema, logo nos referimos ao "auth.log", ele nos mostra o registro de comandos como su, sudo, conexões SSH, etc...

Porém, não mostra o que o usuário "cosmos" fez após ter se logado no sistema, aí é que entra o Snoopy. Com ele, conseguimos saber exatamente quais comandos foram executados por qual usuário, que horas, qual foi a PID gerada, qual o UID do usuário, enfim, é uma ferramenta que nos ajuda bastante na hora de alguma auditoria.

E ela se torna ainda mais poderosa quando está trabalhando junto com um servidor de log remoto, como o Syslog-NG, por exemplo.

Para saber como configurar um servidor de log, siga as instruções no link abaixo:

• Configurando um Servidor de Logs com Syslog-NG « guiadoti.blogspot.com.br

Bem, chega de papo e vamos colocar a mão na massa, para instalar o Snoopy é só executar (em distribuições baseadas no Debian):

# aptitude install snoopy

Durante a instalação do Snoopy, ele irá perguntar se você deseja inserir a biblioteca dentro do arquivo "/etc/ld.so.preload", clique em 'Sim', para confirmar.

Depois do Snoopy, instalado é só digitar:

# tail -f /var/log/auth.log

Para acompanhar os logs inseridos no arquivo em tempo real, e em outro terminal, logar com algum usuário e executar alguns comandos do dia a dia para ver o que acontece no /var/log/auth.log.

Bem pessoal, é isso aí.

Espero que este tuto seja útil pra vocês, até a próxima.

Dica previamente publicada em:

• Auditando com Snoopy « guiadoti.blogspot.com.br