Security-X

Forum Security-X => Système d'Exploitation => Linux => Discussion démarrée par: Tawal le juin 07, 2016, 15:54:59

Titre: [Debian] [Surveillance] Paquet Surveillance + Astuces
Posté par: Tawal le juin 07, 2016, 15:54:59
Bonjour,

Je viens vous parler du logiciel Surveillance (https://wiki.debian-fr.xyz/Surveillance)

Sa fonction :Ses limites :

En fait, c'est basique en somme  ;D

Sauf que, dans le wiki (cf. lien), il est préconisé de :
Citer
Lorsque vous installez un paquet, vous ne penserez pas toujours à lancer la commande 'dpkg-reconfigure surveillance' Voici une astuce pour que ce soit automatique:
Créez le fichier /etc/apt/apt.conf.d/99-surveillance et mettez ce qui suit dedans:

DPkg::Post-Invoke {
    "dpkg-reconfigure surveillance;"
};


Ce qu'il peut se passer, c'est qu'il y ait des modifications de fichiers avant une installation/suppression/mise à jour etc ...
L'installation (mise à jour ...) se déroule parfaitement ...
Et boum ! dpkg-reconfigure surveillance se lance et remet à jour les sommes md5 des fichiers surveillés (il les recalcule pour en faire sa référence)
Avec, évidemment, les sommes md5 des fichiers modifiés avant l'installation (mise à jour ...) !

L'astuce :
C'est de créer le fichier /etc/apt/apt.conf.d/19-surveillance avec ce contenu :
DPkg::Pre-Invoke {
    "/usr/bin/surveille;"
};

On utilise le fait que /usr/bin/surveille renvoie un code de retour différent de 0 en cas de détection positive.
Ce code fait sortir du processus d'installation (mise à jour ou autre)

Exemples de sorties console :

Sans modification de fichiers avant l'upgrade (inutile ici ^^)
# aptitude upgrade
Aucun paquet ne va être installé, mis à jour ou enlevé.
0 paquets mis à jour, 0 nouvellement installés, 0 à enlever et 0 non mis à jour.
Il est nécessaire de télécharger 0 o d'archives. Après dépaquetage, 0 o seront utilisés.
Fabrication du fichier de surveillance dans /var/spool/.surveillance  :  Fait.
                                             
#

Avec une modification du fichier 19-surveillance~ (suppression)
# aptitude upgrade
Aucun paquet ne va être installé, mis à jour ou enlevé.
0 paquets mis à jour, 0 nouvellement installés, 0 à enlever et 0 non mis à jour.
Il est nécessaire de télécharger 0 o d'archives. Après dépaquetage, 0 o seront utilisés.
Erreur ouverture /etc/apt/apt.conf.d/19-surveillance~
Erreur:: /etc/apt/apt.conf.d/19-surveillance~ absent
E: Problem executing scripts DPkg::Pre-Invoke '/usr/bin/surveille;'
E: Sub-process returned an error code
Échec de l'installation d'un paquet. Tentative de réparation :
                                             
#



Vli, vlà, vlou :)

Après, il faut bien comprendre qu'en cas de fichier modifié (ou suppression), la détection effectuée par Surveillance est complètement "transparente" à la logithèque, synpatic (si on ne regarde pas la console), les mises à jours (auto ou pas) etc ...

Tout se voit dans une console mais pas en mode graphique !

Au plaisir  :AAN
Titre: Re : [Debian] [Surveillance] Paquet Surveillance + Astuces
Posté par: Tawal le juin 07, 2016, 16:06:16
re,

Pour ceux qui veulent aller plus loin dans la surveillance système/fichiers/dossiers :
Exploiter inotify, c’est simple (http://linuxfr.org/news/exploiter-inotify-c-est-simple)           enjoy  :D

:AAN
Titre: Re : [Debian] [Surveillance] Paquet Surveillance + Astuces
Posté par: igor51 le juin 07, 2016, 20:03:03
Si je ne dis pas n'importe quoi, tu ne devrais pas utiliser Gedit pour éditer les fichiers, surtout en root ^^

Maintenant, si j'ai bien compris, ça ne fait que surveiller c'est bien ça ? Ca ne prend pas de décision de protection sur les fichiers ? Genre dans /Etc ?
Titre: Re : [Debian] [Surveillance] Paquet Surveillance + Astuces
Posté par: Tawal le juin 07, 2016, 20:16:32
Plop,

Citer
Si je ne dis pas n'importe quoi, tu ne devrais pas utiliser Gedit pour éditer les fichiers, surtout en root ^^
J'en prends note, je passe à vi ;)

Citer
Maintenant, si j'ai bien compris, ça ne fait que surveiller c'est bien ça ? Ca ne prend pas de décision de protection sur les fichiers ? Genre dans /Etc ?
Exact, c'est basique.

Pour prendre des décisions, il faut voir avec incron et iwatch ;)
Titre: Re : [Debian] [Surveillance] Paquet Surveillance + Astuces
Posté par: Tawal le juin 07, 2016, 20:19:19
Re,

Au fait, comment as-tu fait pour déceler que j'avais utilisé Gedit ?  :o (edit : hi hi c'est pourtant évident  :hi:)

:AAN
Titre: Re : [Debian] [Surveillance] Paquet Surveillance + Astuces
Posté par: igor51 le juin 07, 2016, 20:38:54
J'ai une backdoor sur ton pc et je te surveille ;)