Auditando com Snoopy

Publicado por Rick em 28/07/2012

[ Hits: 7.337 ]

Blog: http://www.guiadoti.com

 


Auditando com Snoopy



Pessoal, iremos abordar o sistema de auditoria chamado Snoopy, é uma ferramenta muito simples, porém, extremamente poderosa.

Quando falamos em log de usuário do sistema, logo nos referimos ao "auth.log", ele nos mostra o registro de comandos como su, sudo, conexões SSH, etc...

Porém, não mostra o que o usuário "cosmos" fez após ter se logado no sistema, aí é que entra o Snoopy. Com ele, conseguimos saber exatamente quais comandos foram executados por qual usuário, que horas, qual foi a PID gerada, qual o UID do usuário, enfim, é uma ferramenta que nos ajuda bastante na hora de alguma auditoria.

E ela se torna ainda mais poderosa quando está trabalhando junto com um servidor de log remoto, como o Syslog-NG, por exemplo.

Para saber como configurar um servidor de log, siga as instruções no link abaixo:
Bem, chega de papo e vamos colocar a mão na massa, para instalar o Snoopy é só executar (em distribuições baseadas no Debian):

# aptitude install snoopy

Durante a instalação do Snoopy, ele irá perguntar se você deseja inserir a biblioteca dentro do arquivo "/etc/ld.so.preload", clique em 'Sim', para confirmar.

Depois do Snoopy, instalado é só digitar:

# tail -f /var/log/auth.log

Para acompanhar os logs inseridos no arquivo em tempo real, e em outro terminal, logar com algum usuário e executar alguns comandos do dia a dia para ver o que acontece no /var/log/auth.log.

Bem pessoal, é isso aí.

Espero que este tuto seja útil pra vocês, até a próxima.

Dica previamente publicada em:

Outras dicas deste autor

Nikto - Instalação e utilização

Auditando com Lastcomm

Port knocking - Instalação e configuração

Proxy com WPAD pelo DHCP

Configurando o Redmine para enviar e-mails via Gmail

Leitura recomendada

ufw - Como ativar permanentemente o Firewall no Manjaro Linux

Renovando o certificado do Apache-SSL no Debian

Instalação e ativação SELinux no Debian

Nunca execute esses comandos

Usando o ntop para monitorar a rede

  

Comentários

Nenhum comentário foi encontrado.



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts