Auteur Sujet: [Debian] [Surveillance] Paquet Surveillance + Astuces  (Lu 2772 fois)

0 Membres et 1 Invité sur ce sujet

Hors ligne Tawal

  • Archives
  • Members
  • *
  • Messages: 953
  • Le savoir n'a d'intérêt que si on le transmet.
[Debian] [Surveillance] Paquet Surveillance + Astuces
« le: juin 07, 2016, 15:54:59 »
Bonjour,

Je viens vous parler du logiciel Surveillance

Sa fonction :
  • Calculer les sommes md5 des fichiers surveillés
  • Contrôler ces sommes md5
  • Renvoyer la liste des fichiers modifiés, si il y a lieu
Ses limites :
  • Ne détecte que les modifications/suppressions des fichiers surveillés
  • Ne détecte pas les changements d'attributs, les créations de fichiers ...
  • Peut être (très) lent sur de longues listes de fichiers et/ou de gros fichiers


En fait, c'est basique en somme  ;D

Sauf que, dans le wiki (cf. lien), il est préconisé de :
Citer
Lorsque vous installez un paquet, vous ne penserez pas toujours à lancer la commande 'dpkg-reconfigure surveillance' Voici une astuce pour que ce soit automatique:
Créez le fichier /etc/apt/apt.conf.d/99-surveillance et mettez ce qui suit dedans:

DPkg::Post-Invoke {
    "dpkg-reconfigure surveillance;"
};


Ce qu'il peut se passer, c'est qu'il y ait des modifications de fichiers avant une installation/suppression/mise à jour etc ...
L'installation (mise à jour ...) se déroule parfaitement ...
Et boum ! dpkg-reconfigure surveillance se lance et remet à jour les sommes md5 des fichiers surveillés (il les recalcule pour en faire sa référence)
Avec, évidemment, les sommes md5 des fichiers modifiés avant l'installation (mise à jour ...) !

L'astuce :
C'est de créer le fichier /etc/apt/apt.conf.d/19-surveillance avec ce contenu :
DPkg::Pre-Invoke {
    "/usr/bin/surveille;"
};

On utilise le fait que /usr/bin/surveille renvoie un code de retour différent de 0 en cas de détection positive.
Ce code fait sortir du processus d'installation (mise à jour ou autre)

Exemples de sorties console :

Sans modification de fichiers avant l'upgrade (inutile ici ^^)
# aptitude upgrade
Aucun paquet ne va être installé, mis à jour ou enlevé.
0 paquets mis à jour, 0 nouvellement installés, 0 à enlever et 0 non mis à jour.
Il est nécessaire de télécharger 0 o d'archives. Après dépaquetage, 0 o seront utilisés.
Fabrication du fichier de surveillance dans /var/spool/.surveillance  :  Fait.
                                             
#

Avec une modification du fichier 19-surveillance~ (suppression)
# aptitude upgrade
Aucun paquet ne va être installé, mis à jour ou enlevé.
0 paquets mis à jour, 0 nouvellement installés, 0 à enlever et 0 non mis à jour.
Il est nécessaire de télécharger 0 o d'archives. Après dépaquetage, 0 o seront utilisés.
Erreur ouverture /etc/apt/apt.conf.d/19-surveillance~
Erreur:: /etc/apt/apt.conf.d/19-surveillance~ absent
E: Problem executing scripts DPkg::Pre-Invoke '/usr/bin/surveille;'
E: Sub-process returned an error code
Échec de l'installation d'un paquet. Tentative de réparation :
                                             
#



Vli, vlà, vlou :)

Après, il faut bien comprendre qu'en cas de fichier modifié (ou suppression), la détection effectuée par Surveillance est complètement "transparente" à la logithèque, synpatic (si on ne regarde pas la console), les mises à jours (auto ou pas) etc ...

Tout se voit dans une console mais pas en mode graphique !

Au plaisir  :AAN
Puisque la science n'est pas infuse, elle se diffuse !

Security-X

[Debian] [Surveillance] Paquet Surveillance + Astuces
« le: juin 07, 2016, 15:54:59 »

Hors ligne Tawal

  • Archives
  • Members
  • *
  • Messages: 953
  • Le savoir n'a d'intérêt que si on le transmet.
Re : [Debian] [Surveillance] Paquet Surveillance + Astuces
« Réponse #1 le: juin 07, 2016, 16:06:16 »
re,

Pour ceux qui veulent aller plus loin dans la surveillance système/fichiers/dossiers :
Exploiter inotify, c’est simple           enjoy  :D

:AAN
Puisque la science n'est pas infuse, elle se diffuse !

En ligne igor51

  • Admin
  • Mega Power Members
  • *****
  • Messages: 10278
Re : [Debian] [Surveillance] Paquet Surveillance + Astuces
« Réponse #2 le: juin 07, 2016, 20:03:03 »
Si je ne dis pas n'importe quoi, tu ne devrais pas utiliser Gedit pour éditer les fichiers, surtout en root ^^

Maintenant, si j'ai bien compris, ça ne fait que surveiller c'est bien ça ? Ca ne prend pas de décision de protection sur les fichiers ? Genre dans /Etc ?

Hors ligne Tawal

  • Archives
  • Members
  • *
  • Messages: 953
  • Le savoir n'a d'intérêt que si on le transmet.
Re : [Debian] [Surveillance] Paquet Surveillance + Astuces
« Réponse #3 le: juin 07, 2016, 20:16:32 »
Plop,

Citer
Si je ne dis pas n'importe quoi, tu ne devrais pas utiliser Gedit pour éditer les fichiers, surtout en root ^^
J'en prends note, je passe à vi ;)

Citer
Maintenant, si j'ai bien compris, ça ne fait que surveiller c'est bien ça ? Ca ne prend pas de décision de protection sur les fichiers ? Genre dans /Etc ?
Exact, c'est basique.

Pour prendre des décisions, il faut voir avec incron et iwatch ;)
Puisque la science n'est pas infuse, elle se diffuse !

Hors ligne Tawal

  • Archives
  • Members
  • *
  • Messages: 953
  • Le savoir n'a d'intérêt que si on le transmet.
Re : [Debian] [Surveillance] Paquet Surveillance + Astuces
« Réponse #4 le: juin 07, 2016, 20:19:19 »
Re,

Au fait, comment as-tu fait pour déceler que j'avais utilisé Gedit ?  :o (edit : hi hi c'est pourtant évident  :hi:)

:AAN
« Modifié: juin 07, 2016, 21:26:59 par Tawal »
Puisque la science n'est pas infuse, elle se diffuse !

En ligne igor51

  • Admin
  • Mega Power Members
  • *****
  • Messages: 10278
Re : [Debian] [Surveillance] Paquet Surveillance + Astuces
« Réponse #5 le: juin 07, 2016, 20:38:54 »
J'ai une backdoor sur ton pc et je te surveille ;)

Tags: