Snoopy Logger
Dica publicada em Linux / Segurança
Snoopy Logger
Embora seja extremamente simples o Snoopy Logger é uma ferramenta muito poderosa, porém pouco utilizada no Brasil. Essa dica é baseada na simples documentação divulgada por seus desenvolvedores.
Snoopy Logger é uma ferramenta de segurança, desenvolvida em linguagem C, capaz de gerar logs de todos os comandos executados por usuários do sistema ou apenas os comandos executados pelo superusuário root.
Ela funciona como um wrapper para chamadas execve(). O log é gerado através do syslogd, sendo geralmente armazenado em /var/log/auth.log.
A instalação é muito simples, e consiste apenas nos seguintes passos:
1. Descompactando o arquivo:
$ tar -zxvf snoopy-1.3.tar.gz
2. Entrando em seu diretório:
$ cd snoopy-1.3
3. Os dois comandos básicos de instalação:
$ make
$ su -c "make install"
4. O passo final é reiniciar o syslogd:
# /etc/init.d/sysklogd reset
Obs.: para os usuários do Debian, basta digitar o seguinte comando para instalar (e logo depois reiniciar o syslogd):
# apt-get install snoopy
Após a instalação basta ver se realmente está funcionando usando o comando abaixo e digitando quaisquer comandos em outro terminal para ver se eles estão sendo registrados:
# tail -f /var/log/auth.log
Falando em log...
Recomendo para que exista uma maior compreensão sobre log do sistema, a leitura do capítulo 6 do Guia Foca GNU/Linux.
* That's all folks *
Snoopy Logger é uma ferramenta de segurança, desenvolvida em linguagem C, capaz de gerar logs de todos os comandos executados por usuários do sistema ou apenas os comandos executados pelo superusuário root.
Ela funciona como um wrapper para chamadas execve(). O log é gerado através do syslogd, sendo geralmente armazenado em /var/log/auth.log.
Download
Instalação
A instalação é muito simples, e consiste apenas nos seguintes passos:
1. Descompactando o arquivo:
$ tar -zxvf snoopy-1.3.tar.gz
2. Entrando em seu diretório:
$ cd snoopy-1.3
3. Os dois comandos básicos de instalação:
$ make
$ su -c "make install"
4. O passo final é reiniciar o syslogd:
# /etc/init.d/sysklogd reset
Obs.: para os usuários do Debian, basta digitar o seguinte comando para instalar (e logo depois reiniciar o syslogd):
# apt-get install snoopy
Após a instalação basta ver se realmente está funcionando usando o comando abaixo e digitando quaisquer comandos em outro terminal para ver se eles estão sendo registrados:
# tail -f /var/log/auth.log
Falando em log...
Recomendo para que exista uma maior compreensão sobre log do sistema, a leitura do capítulo 6 do Guia Foca GNU/Linux.
* That's all folks *
Vc ja configurou o snoopy em maquina 64bits? Tentei aqui e da o seguinte erro:
gcc -shared -O3 -fomit-frame-pointer snoopy.c -osnoopy.so -ldl
snoopy.c:40: warning: conflicting types for built-in function `log'
snoopy.c: In function `log':
snoopy.c:77: warning: cast to pointer from integer of different size
/usr/lib64/gcc-lib/x86_64-suse-linux/3.3.3/../../../../x86_64-suse-linux/bin/ld: /tmp/ccaOchNv.o: relocation R_X86_64_32 can not be used when making a shared object; recompile with -fPIC
/tmp/ccaOchNv.o: could not read symbols: Bad value
collect2: ld returned 1 exit status
make: *** [snoopy.so] Error 1
Alguma ideia?