Forum Security-X > Linux
[Debian] [Surveillance] Paquet Surveillance + Astuces
Tawal:
Bonjour,
Je viens vous parler du logiciel Surveillance
Sa fonction :
* Calculer les sommes md5 des fichiers surveillés
* Contrôler ces sommes md5
* Renvoyer la liste des fichiers modifiés, si il y a lieuSes limites :
* Ne détecte que les modifications/suppressions des fichiers surveillés
* Ne détecte pas les changements d'attributs, les créations de fichiers ...
* Peut être (très) lent sur de longues listes de fichiers et/ou de gros fichiers
En fait, c'est basique en somme ;D
Sauf que, dans le wiki (cf. lien), il est préconisé de :
--- Citer ---Lorsque vous installez un paquet, vous ne penserez pas toujours à lancer la commande 'dpkg-reconfigure surveillance' Voici une astuce pour que ce soit automatique:
Créez le fichier /etc/apt/apt.conf.d/99-surveillance et mettez ce qui suit dedans:
--- Code: ---DPkg::Post-Invoke {
"dpkg-reconfigure surveillance;"
};
--- Fin du code ---
--- Fin de citation ---
Ce qu'il peut se passer, c'est qu'il y ait des modifications de fichiers avant une installation/suppression/mise à jour etc ...
L'installation (mise à jour ...) se déroule parfaitement ...
Et boum ! dpkg-reconfigure surveillance se lance et remet à jour les sommes md5 des fichiers surveillés (il les recalcule pour en faire sa référence)
Avec, évidemment, les sommes md5 des fichiers modifiés avant l'installation (mise à jour ...) !
L'astuce :
C'est de créer le fichier /etc/apt/apt.conf.d/19-surveillance avec ce contenu :
--- Code: ---DPkg::Pre-Invoke {
"/usr/bin/surveille;"
};
--- Fin du code ---
On utilise le fait que /usr/bin/surveille renvoie un code de retour différent de 0 en cas de détection positive.
Ce code fait sortir du processus d'installation (mise à jour ou autre)
Exemples de sorties console :
Sans modification de fichiers avant l'upgrade (inutile ici ^^)
--- Code: ---# aptitude upgrade
Aucun paquet ne va être installé, mis à jour ou enlevé.
0 paquets mis à jour, 0 nouvellement installés, 0 à enlever et 0 non mis à jour.
Il est nécessaire de télécharger 0 o d'archives. Après dépaquetage, 0 o seront utilisés.
Fabrication du fichier de surveillance dans /var/spool/.surveillance : Fait.
#
--- Fin du code ---
Avec une modification du fichier 19-surveillance~ (suppression)
--- Code: ---# aptitude upgrade
Aucun paquet ne va être installé, mis à jour ou enlevé.
0 paquets mis à jour, 0 nouvellement installés, 0 à enlever et 0 non mis à jour.
Il est nécessaire de télécharger 0 o d'archives. Après dépaquetage, 0 o seront utilisés.
Erreur ouverture /etc/apt/apt.conf.d/19-surveillance~
Erreur:: /etc/apt/apt.conf.d/19-surveillance~ absent
E: Problem executing scripts DPkg::Pre-Invoke '/usr/bin/surveille;'
E: Sub-process returned an error code
Échec de l'installation d'un paquet. Tentative de réparation :
#
--- Fin du code ---
Vli, vlà, vlou :)
Après, il faut bien comprendre qu'en cas de fichier modifié (ou suppression), la détection effectuée par Surveillance est complètement "transparente" à la logithèque, synpatic (si on ne regarde pas la console), les mises à jours (auto ou pas) etc ...
Tout se voit dans une console mais pas en mode graphique !
Au plaisir :AAN
Tawal:
re,
Pour ceux qui veulent aller plus loin dans la surveillance système/fichiers/dossiers :
Exploiter inotify, c’est simple enjoy :D
:AAN
igor51:
Si je ne dis pas n'importe quoi, tu ne devrais pas utiliser Gedit pour éditer les fichiers, surtout en root ^^
Maintenant, si j'ai bien compris, ça ne fait que surveiller c'est bien ça ? Ca ne prend pas de décision de protection sur les fichiers ? Genre dans /Etc ?
Tawal:
Plop,
--- Citer ---Si je ne dis pas n'importe quoi, tu ne devrais pas utiliser Gedit pour éditer les fichiers, surtout en root ^^
--- Fin de citation ---
J'en prends note, je passe à vi ;)
--- Citer ---Maintenant, si j'ai bien compris, ça ne fait que surveiller c'est bien ça ? Ca ne prend pas de décision de protection sur les fichiers ? Genre dans /Etc ?
--- Fin de citation ---
Exact, c'est basique.
Pour prendre des décisions, il faut voir avec incron et iwatch ;)
Tawal:
Re,
Au fait, comment as-tu fait pour déceler que j'avais utilisé Gedit ? :o (edit : hi hi c'est pourtant évident :hi:)
:AAN
Navigation
[#] Page suivante
Sortir du mode mobile