[MASOCH-L] Ferramenta de auditagem em UNIX

Saulo Farias Falcao saulof at info.ufrn.br
Fri Apr 29 20:10:09 BRT 2005


Roberto,

Existe um excelente patch para o bash-2.03 do projeto Honeynet, que loga
todos os comandos para um servidor de logs remoto (que pode ser o
proprio syslog, iniciado em outra máquina com o parametro "-r")

O link do patch original *estava* aqui, mas nao existe mais:
http://project.honeynet.org/papers/honeynet/tools/bash-anton.patch
(removido)

De qualquer forma, adaptamos o patch para um bash mais recente, o 2-0.5b.

Voce pode pegar o bash-2.05b com o patch já aplicado em
http://www.saulofalcao.com.br/bash-modificado-2.05b.tar.gz

Baixe esse arquivo e modifique o arquivo lib/readline/history.c,
substituindo todas as entradas do ip 10.0.0.1 pelo ip do seu LogHost (o
servidor executando o "syslog -r". Na verdade recomendo o syslog-ng para
um servidor de logs decente)

Utilizamos essa solução há 3 anos e tem se mostrado excelente, na
auditoria de sistemas invadidos, por exemplo, ou mesmo na detecção de
erros cometidos pelos administradores do sistema.

Um exemplo do log gerado por esse bash:

Apr 29 19:54:33 nome-do-host/nome-do-host T=19:54:38-042905
Apr 29 19:54:33 nome-do-host/nome-do-host PI=3717 UI=9132 ps
Apr 29 19:54:36 nome-do-host/nome-do-host T=19:54:41-042905
Apr 29 19:54:36 nome-do-host/nome-do-host PI=3717 UI=9132 ls -la
Apr 29 19:54:40 nome-do-host/nome-do-host T=19:54:46-042905
Apr 29 19:54:40 nome-do-host/nome-do-host PI=3717 UI=9132 id

T=Time, PI=PID, UI= id do usuario

Qualquer esclarecimento, estamos aí!
Até mais,
Saulo Falcão

Saulo Falcão - (84) 8809-2128 - www.saulofalcao.com.br
- Certificado LPI-I
   https://www.lpi.org/pt_br/verify.html
   LPI ID: LPI000067757
   Código de Vericação: a3huc7l3g8
- Naris -  Nucleo de Atendimento e Resposta a Incidentes de Seguranca
 http://naris.info.ufrn.br


On Fri, 29 Apr 2005, Roberto Soldi wrote:

> Pessoal, alguem poderia recomendar alguma ferramenta de auditagem para UNIX
> que log o que cada usuário fez, além do history, é claro.
>
> Abraços, e bom final de semana.
> Roberto Soldi
> VIA IP
>
>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>



More information about the masoch-l mailing list