1 votes

user8680 avatar

Audit sur le système UNIX

Demandé el 8 de Juin, 2009
Quand la question a-t-elle été
872 affichage
Nombre de visites la question a
3 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je travaille sur un projet qui nécessite un audit des lectures/écritures/modifications de divers fichiers. En outre, je dois enregistrer les accès ftp, les connexions des utilisateurs, les changements d'heure NTP/système, etc. Existe-t-il un bon outil pour UNIX capable de faire tout cela et de me permettre d'exporter les données dans un format agréable et lisible par l'homme ?

Pour l'instant, je surveille les événements relatifs aux fichiers en utilisant l'outil d'audit UNIX standard avec des commandes ausearch, etc. Cela fonctionne bien, mais il y a beaucoup de choses et je n'ai pas particulièrement envie de devoir écrire des scripts pour analyser tous ces fichiers. J'aimerais aussi vraiment que les choses soient écrites dans un format lisible par l'homme plutôt que de devoir les analyser après coup. Étant donné que notre client veut être en mesure d'exporter ces journaux d'audit et de les lire avec des outils de base (navigateur web/éditeurs de texte), j'ai besoin que ce soit facile à regarder.

Une aide sur ce point ?

A la vôtre.

Demandé el 8 de Juin, 2009 par user8680

Réponses

Trop de publicités?

2voto

Michael Barker avatar
Michael Barker Points 8234

Changements de dossier : AIDE

Et pour les journaux : Logcheck
Vous pouvez le paramétrer pour qu'il signale certaines entrées dans les journaux.

Répondu el 8 de Juin, 2009 par Michael Barker (8234 Points )

0 votes

Avatar de user8680

J'ai regardé dans AIDE, mais je crois qu'il ne peut pas enregistrer les modifications/accès/exécutions de fichiers à la volée ? Il hache tous les fichiers configurés pour commencer et peut ensuite être utilisé pour une comparaison ultérieure ? Étant donné que le système sur lequel je travaille enregistre des séquences de vidéosurveillance, je dois être en mesure d'enregistrer tout accès aux séquences enregistrées qui sont constamment générées. Une valeur de plusieurs terabytes en fait. J'ai finalement réussi à faire en sorte qu'auditd fasse ce que je voulais, avec logrotate qui gère les renouvellements de journaux, ce qui est génial. Mais ensuite, j'ai découvert qu'il ne récure pas les sous-répertoires, ce dont j'ai besoin. Est-ce que je me trompe ou est-ce que AIDE le fera ?

Commenté el 10 de Juin, 2009 par user8680

0 votes

Avatar de Michael Barker

AIDE vérifie également les sous-répertoires. En ce qui concerne la surveillance des séquences CCTV, je ne connais pas d'outil capable de surveiller à la volée. AIDE vous montre simplement les changements, les fichiers ajoutés et les fichiers supprimés entre le snapshot précédent et le snapshot actuel.

Commenté el 10 de Juin, 2009 par Michael Barker

0 votes

Avatar de user8680

Comme je le soupçonnais. Merci pour l'info. Ma chasse va continuer !

Commenté el 11 de Juin, 2009 par user8680

0voto

TiFFolk avatar
TiFFolk Points 1077

Il y a un démon d'audit sur les boîtes linux.

Répondu el 8 de Juin, 2009 par TiFFolk (1077 Points )

0 votes

Avatar de user8680

Voici ma mise en œuvre actuelle. Le problème est qu'elle ne permet pas de choisir le format du fichier journal. Il est assez verbeux, et pas très lisible par l'homme. Il y a beaucoup de fonctionnalités que j'aimerais qu'il ait et qu'il n'a malheureusement pas. S'il existe un outil meilleur, ce serait formidable.

Commenté el 8 de Juin, 2009 par user8680

0voto

sucuri avatar
sucuri Points 2807

Je vous recommande l'outil OSSEC.

-Il vérifie l'intégrité des fichiers pour détecter les modifications apportées aux fichiers (ou aux répertoires).

-Il analyse les journaux pour détecter les échecs de connexion, les changements d'heure, etc.

-Il est open source, multi-plateforme et facile à installer.

Je l'ai utilisé pour la conformité PCI et pour auditer mes systèmes et routeurs Linux (oui, il prend également en charge les routeurs Cisco via "agentless").

Lien : http://www.ossec.net

Répondu el 8 de Juin, 2009 par sucuri (2807 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X