Auditando com Snoopy

Publicado por Rick em 28/07/2012

[ Hits: 7.101 ]

Blog: http://www.guiadoti.com

 


Auditando com Snoopy



Pessoal, iremos abordar o sistema de auditoria chamado Snoopy, é uma ferramenta muito simples, porém, extremamente poderosa.

Quando falamos em log de usuário do sistema, logo nos referimos ao "auth.log", ele nos mostra o registro de comandos como su, sudo, conexões SSH, etc...

Porém, não mostra o que o usuário "cosmos" fez após ter se logado no sistema, aí é que entra o Snoopy. Com ele, conseguimos saber exatamente quais comandos foram executados por qual usuário, que horas, qual foi a PID gerada, qual o UID do usuário, enfim, é uma ferramenta que nos ajuda bastante na hora de alguma auditoria.

E ela se torna ainda mais poderosa quando está trabalhando junto com um servidor de log remoto, como o Syslog-NG, por exemplo.

Para saber como configurar um servidor de log, siga as instruções no link abaixo:
Bem, chega de papo e vamos colocar a mão na massa, para instalar o Snoopy é só executar (em distribuições baseadas no Debian):

# aptitude install snoopy

Durante a instalação do Snoopy, ele irá perguntar se você deseja inserir a biblioteca dentro do arquivo "/etc/ld.so.preload", clique em 'Sim', para confirmar.

Depois do Snoopy, instalado é só digitar:

# tail -f /var/log/auth.log

Para acompanhar os logs inseridos no arquivo em tempo real, e em outro terminal, logar com algum usuário e executar alguns comandos do dia a dia para ver o que acontece no /var/log/auth.log.

Bem pessoal, é isso aí.

Espero que este tuto seja útil pra vocês, até a próxima.

Dica previamente publicada em:

Outras dicas deste autor

MySQL - Comandos básicos

Configurando o Redmine para enviar e-mails via Gmail

Controle de banda com HTB-tools

Auditando com Lastcomm

Proxy com WPAD pelo DHCP

Leitura recomendada

Capturando o MAC address do cliente via Apache

Bloqueando solicitações de ping

Conheça o PacketFence - Ferramenta para controle de acesso a rede

Correção de segurança no quotacheck em rc.M

Atualização de segurança no EPIC4

  

Comentários

Nenhum comentário foi encontrado.



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts