Security-X
Forum Security-X => Système d'Exploitation => Linux => Discussion démarrée par: Tawal le juin 07, 2016, 15:54:59
-
Bonjour,
Je viens vous parler du logiciel Surveillance (https://wiki.debian-fr.xyz/Surveillance)
Sa fonction :- Calculer les sommes md5 des fichiers surveillés
- Contrôler ces sommes md5
- Renvoyer la liste des fichiers modifiés, si il y a lieu
Ses limites :- Ne détecte que les modifications/suppressions des fichiers surveillés
- Ne détecte pas les changements d'attributs, les créations de fichiers ...
- Peut être (très) lent sur de longues listes de fichiers et/ou de gros fichiers
En fait, c'est basique en somme ;D
Sauf que, dans le wiki (cf. lien), il est préconisé de :
Lorsque vous installez un paquet, vous ne penserez pas toujours à lancer la commande 'dpkg-reconfigure surveillance' Voici une astuce pour que ce soit automatique:
Créez le fichier /etc/apt/apt.conf.d/99-surveillance et mettez ce qui suit dedans:
DPkg::Post-Invoke {
"dpkg-reconfigure surveillance;"
};
Ce qu'il peut se passer, c'est qu'il y ait des modifications de fichiers avant une installation/suppression/mise à jour etc ...
L'installation (mise à jour ...) se déroule parfaitement ...
Et boum ! dpkg-reconfigure surveillance se lance et remet à jour les sommes md5 des fichiers surveillés (il les recalcule pour en faire sa référence)
Avec, évidemment, les sommes md5 des fichiers modifiés avant l'installation (mise à jour ...) !
L'astuce :
C'est de créer le fichier /etc/apt/apt.conf.d/19-surveillance avec ce contenu :
DPkg::Pre-Invoke {
"/usr/bin/surveille;"
};
On utilise le fait que /usr/bin/surveille renvoie un code de retour différent de 0 en cas de détection positive.
Ce code fait sortir du processus d'installation (mise à jour ou autre)
Exemples de sorties console :
Sans modification de fichiers avant l'upgrade (inutile ici ^^)
# aptitude upgrade
Aucun paquet ne va être installé, mis à jour ou enlevé.
0 paquets mis à jour, 0 nouvellement installés, 0 à enlever et 0 non mis à jour.
Il est nécessaire de télécharger 0 o d'archives. Après dépaquetage, 0 o seront utilisés.
Fabrication du fichier de surveillance dans /var/spool/.surveillance : Fait.
#
Avec une modification du fichier 19-surveillance~ (suppression)
# aptitude upgrade
Aucun paquet ne va être installé, mis à jour ou enlevé.
0 paquets mis à jour, 0 nouvellement installés, 0 à enlever et 0 non mis à jour.
Il est nécessaire de télécharger 0 o d'archives. Après dépaquetage, 0 o seront utilisés.
Erreur ouverture /etc/apt/apt.conf.d/19-surveillance~
Erreur:: /etc/apt/apt.conf.d/19-surveillance~ absent
E: Problem executing scripts DPkg::Pre-Invoke '/usr/bin/surveille;'
E: Sub-process returned an error code
Échec de l'installation d'un paquet. Tentative de réparation :
#
Vli, vlà, vlou :)
Après, il faut bien comprendre qu'en cas de fichier modifié (ou suppression), la détection effectuée par Surveillance est complètement "transparente" à la logithèque, synpatic (si on ne regarde pas la console), les mises à jours (auto ou pas) etc ...
Tout se voit dans une console mais pas en mode graphique !
Au plaisir :AAN
-
re,
Pour ceux qui veulent aller plus loin dans la surveillance système/fichiers/dossiers :
Exploiter inotify, c’est simple (http://linuxfr.org/news/exploiter-inotify-c-est-simple) enjoy :D
:AAN
-
Si je ne dis pas n'importe quoi, tu ne devrais pas utiliser Gedit pour éditer les fichiers, surtout en root ^^
Maintenant, si j'ai bien compris, ça ne fait que surveiller c'est bien ça ? Ca ne prend pas de décision de protection sur les fichiers ? Genre dans /Etc ?
-
Plop,
Si je ne dis pas n'importe quoi, tu ne devrais pas utiliser Gedit pour éditer les fichiers, surtout en root ^^
J'en prends note, je passe à vi ;)
Maintenant, si j'ai bien compris, ça ne fait que surveiller c'est bien ça ? Ca ne prend pas de décision de protection sur les fichiers ? Genre dans /Etc ?
Exact, c'est basique.
Pour prendre des décisions, il faut voir avec incron et iwatch ;)
-
Re,
Au fait, comment as-tu fait pour déceler que j'avais utilisé Gedit ? :o (edit : hi hi c'est pourtant évident :hi:)
:AAN
-
J'ai une backdoor sur ton pc et je te surveille ;)