Auditando com Snoopy

Publicado por Rick em 28/07/2012

[ Hits: 6.054 ]

Blog: http://www.guiadoti.com

 


Auditando com Snoopy



Pessoal, iremos abordar o sistema de auditoria chamado Snoopy, é uma ferramenta muito simples, porém, extremamente poderosa.

Quando falamos em log de usuário do sistema, logo nos referimos ao "auth.log", ele nos mostra o registro de comandos como su, sudo, conexões SSH, etc...

Porém, não mostra o que o usuário "cosmos" fez após ter se logado no sistema, aí é que entra o Snoopy. Com ele, conseguimos saber exatamente quais comandos foram executados por qual usuário, que horas, qual foi a PID gerada, qual o UID do usuário, enfim, é uma ferramenta que nos ajuda bastante na hora de alguma auditoria.

E ela se torna ainda mais poderosa quando está trabalhando junto com um servidor de log remoto, como o Syslog-NG, por exemplo.

Para saber como configurar um servidor de log, siga as instruções no link abaixo:
Bem, chega de papo e vamos colocar a mão na massa, para instalar o Snoopy é só executar (em distribuições baseadas no Debian):

# aptitude install snoopy

Durante a instalação do Snoopy, ele irá perguntar se você deseja inserir a biblioteca dentro do arquivo "/etc/ld.so.preload", clique em 'Sim', para confirmar.

Depois do Snoopy, instalado é só digitar:

# tail -f /var/log/auth.log

Para acompanhar os logs inseridos no arquivo em tempo real, e em outro terminal, logar com algum usuário e executar alguns comandos do dia a dia para ver o que acontece no /var/log/auth.log.

Bem pessoal, é isso aí.

Espero que este tuto seja útil pra vocês, até a próxima.

Dica previamente publicada em:

Outras dicas deste autor

ProFTPD - Enjaulando usuários no diretório HOME

Auditando com Lastcomm

Servidor FTP com ProFTPD - Instalação e configuração

MySQL - Comandos básicos

Ambiente seguro com chroot

Leitura recomendada

Opções para camuflar senha no Conectiva 10

Configure seu firewall via web (Iptables On-Line)

Vulnerabilidade na variável PATH

Centralizando logs de dispositivos Cisco com o Syslog-ng

Bloqueio de acesso SSH para determinado IP

  

Comentários

Nenhum comentário foi encontrado.



Contribuir com comentário