« Surveillance » : différence entre les versions

Paquet surveillance

Explications

Excellent soft développé par François Boisson (Merci...)

Principe:

Il s'agit de surveiller si des fichiers importants sont modifiés, et ainsi de contrôler l'intégrité de votre système.

• À l'installation de surveillance, des md5sums de tous les fichiers à surveiller (liste dans /var/lib/dpkg/info/surveillance.postinst) sont calculés et conservés.
• L'éxécution de «surveille» donne la liste des fichiers modifiés; Donc si /etc/rsyslog.conf est modifié, «surveille» le signaleras.
• complet est un script additionnel indiquant si un fichier supplémentaire a été crée.
• Pour recalculer les md5sums, faire «dpkg-reconfigure surveillance»
• Ce n'est que si le script «surveille» est exécuté régulièrement dans crontab (par défaut toutes les heures) que vous recevrez les mails en cas de modifications.

Pour encore plus de sécurité, vous pouvez faire un md5sum du fichier de md5sums que vous mettrez dans un coin pour vérifier que tout est cohérent.

Le fait que ça soit un programme perso, non distribué par les dépôts classiques) en fait qu'il y a peu de chances qu'un pirate quelconque soit au courant de son existence

Sur un serveur classique, le fichier de md5sums fait 25984 octets, c'est très raisonnable.

Pour ce qui est de la consommation de ressources: # time surveille

real 0m2.610s user 0m2.332s sys 0m0.260s

soit 2-3 secondes de temps de calcul au total, ça peut aller comme consommation de ressources, c'est surtout du temps d'accès disque en fait, le md5sum est très rapide à calculer.

C'est un soft idéal pour un serveur. Si la machine est compromise, l'un des fichiers de démarrage est modifé et ça se verra.

cron envoit un mail à root en cas de souci.

Installation

Créez le fichier /etc/apt/sources.list.d/fran.b.list

deb http://boisson.homeip.net/debian lenny divers
#deb-src http://boisson.homeip.net/source/ ./

ou

deb http://boisson.homeip.net/debian squeeze divers
#deb-src http://boisson.homeip.net/source/ ./

# apt-get update
# apt-get install surveillance

Lecture des listes de paquets... Fait Construction de l'arbre des dépendances Lecture des informations d'état... Fait Les NOUVEAUX paquets suivants seront installés :

 surveillance

 surveillance

Faut-il installer ces paquets sans vérification (o/N) ?

L'installation prendra plus ou moins de temps en fonction de votre système (le temps de créer un md5 pour chaque fichier)

Dépaquetage de surveillance (à partir de .../surveillance_1.0-4_amd64.deb) ... Paramétrage de surveillance (1.0-4) ... Fabrication du fichier de surveillance dans /var/spool/.surveillance /bin/chvt: 9758c05b360a24cfbf640e6146388b60 /bin/false: a24aaa03be8920b3cdfa426138eccfeb ... /etc/rc6.d/README: 77bf501d287d0ed2527ec54743741369 /etc/rcS.d/README: a3c07be36eacceaef3a282f2d0c708bd root@vanille:~#

Mise en place de surveillance

Script complémentaire

Il faut créer le script suivant:

C'est lui qui est chargé de vérifier si des fichiers sont modifiés.

/usr/local/bin/complet:

grep find /var/lib/dpkg/info/surveillance.postinst | awk '{l=l" "$2} END {print "find "l" -type f"}' | sh > /tmp/.liste_surveillance diff -urN /etc/liste_surveillance /tmp/.liste_surveillance

Il faut le rendre éxécutable:

chmod +x /usr/local/bin/complet

Puis le placer dans la crontab: 13 * * * * root /usr/bin/surveille 23 * * * * root /usr/local/bin/complet

(il n'est pas forcément nécessaire de faire cela en root) Ici cela fait une vérification toutes les heures de l'intégrité du système.

Modification

Par défaut, les répertoires suivants sont surveillés:

find /bin -type f > /etc/liste_surveillance find /sbin -type f >> /etc/liste_surveillance find /usr/bin -type f >> /etc/liste_surveillance find /usr/sbin -type f >> /etc/liste_surveillance find /etc/init.d -type f >> /etc/liste_surveillance find /etc/rc*.d -type f >> /etc/liste_surveillance

Si vous souhaitez ajouter un répertoire complet (inclut les fichiers et sous répertoire) il suffit de l'ajouter au fichier /var/lib/dpkg/info/surveillance.postinst

Puis de reconfigurer le programme:

# dpkg-reconfigure surveillance

Test

Pour faire un test à la main, modifiez un fichier (ici j'ai modifié volontairement /etc/rc0.d/README) puis tapez:

(Cela exécute le script «complet» et vérifie si des fichiers ont été rajoutés ou modifiés)

root@vanille:~# surveille
Erreur:: /etc/rc0.d/README modified
1 modified files

Et bien sûr ça fonctionne ! Vous devriez recevoir une confirmation par mail:

Return-Path: <root@vanille.zehome.org> Delivered-To: admin@zehome.org Received: from localhost (localhost [127.0.0.1])

   by vanille.zehome.org (Postfix) with ESMTP id 3C99B6454
   for <root@vanille.zehome.org>; Fri, 5 Aug 2011 10:13:15 +0300 (EAT)

   by localhost (vanille.zehome.org [127.0.0.1]) (amavisd-new, port 10024)
   with ESMTP id kkI+iP0hfMIx for <root@vanille.zehome.org>;
   Fri, 5 Aug 2011 10:13:12 +0300 (EAT)

   id DC8B86470; Fri, 5 Aug 2011 10:13:11 +0300 (EAT)

Erreur:: /etc/rc0.d/README modified 1 modified files

Si le fichier modifié est "légitimement" modifié (par vous par exemple) et pour ne plus avoir l'alerte:

# dpkg-reconfigure surveillance

Liens externes

• Sujet en partie sur "surveillance"

Lol 5 août 2011 à 09:15 (CDT)