“Laisser sa trace dans un fichier”

Slides:



Advertisements
Présentations similaires
Le débogage Semaine 12 Version A15. Plan de leçon - Débogage  Commentaire javadoc  Définition  Fonctionnement  Point d’arrêt  Exécution  Contrôler.
Advertisements

Travail réalisé par : Abdessamad BOUTGAYOUT Encadré par : Mr. Ahmed REBBANI LP SRI - ENSET Mohammedia
C++ Les fonctions. Présentation Utilité : Dès qu'un programme dépasse la centaine de lignes de code, il est pratique de pouvoir le décomposer en plusieurs.
Découverte d'Ubuntu Premiers pas dans un nouvel univers Frédéric Mandé.
Des commandes plus avancées I. Les processus Lister des processus : ps & top Arrêter des processus : kill II. Recherche Rechercher des fichiers : find.
1- Introduction 1ère partie Le langage SQL 2- Connexion 3- Structure & Contenu 4- Requêtes.
1 Doxygen. 2 Doxygen : qu’est-ce que c’est ? Code C++, Java,... ● Un générateur de documentation – pour C + +, mais aussi C, Java, Fortran,... – Il fonctionne.
Février 2006X. Belanger / Guilde Introduction à. Février 2006X. Belanger / Guilde Qu'est ce que Samba ? ● Implémentation libre du protocole CIFS/SMB (client.
Go2ACT Echange de données entre les géomètres officiels et l’Administration du Cadastre et de la Topographie.
Linux1 Utilisateurs et groupes. ● Le contrôle des utilisateurs et groupes est au coeur de l'administration de système de Linux. ● Utilisateurs : personnes.
Après 3 séances Tous les binômes ont commencé l'exercice « Formes »
Terminaux virtuels (VTY)
AMUE – SIFAC Intégration Fichier Mouvements BDF
Outils (MailIntegration et autres)
Diffusion en streaming de vidéos d’assistance au dépannage
Eric b, emmanuel l, damien t
Mettre à jour les données
LimeSurvey : Logiciel Open Source pour réaliser des enquêtes
Environnement du développement de BD ORACLE REPORTS 10g
Pack business Entrepreneurs intégral max la solution tout en 1 !
Sécurité - ASA8.x - Import du Plug-in RDP pour utilisation dans WebVPN
L’utilisation des formulaires pour un exemplarisateur
Les commandes du système de fichiers
Objectifs Maîtriser : Un environnement de travail
Sécurité - Cisco ASA Outil de capture WebVPN
Présentation Scribe NG Serveur pédagogique.
Registre de Configuration (Configuration Register)
CCNP Routage Chapitre 8 - Questionnaire N°1
Logiciel de gestion des adhérents
Mesure SAP Guide rapide pour réaliser une mesure de système
De l’introduction à l’importation
Présentation de l'entreprise
Javadoc et débogueur Semaine 03 Version A17.
Status logiciel 29 avril 2010.
Configuration BGP de base
Principes de programmation (suite)
Enregistrer les contacts clients
Installation et Configuration Internet Information Server (IIS 5)
Accès aux fichiers en C.
Centralisation de logs
Pack business Entrepreneurs intégral la solution tout en 1 !
Chapitre 12 Surveillance des ressources et des performances
Sécurité - Configuration de
Commande show ip eigrp topology
Après 3 séances Tous les binômes ont commencé l'exercice « Formes »
Pile IGMPv3 de Host.
Cyber-Sphinx Séance 2.
C. Loomis (LAL-Orsay) Tutorial EGEE Utilisateur (LAL) 2 février 2007
Module 5 : Gestion des disques.
Pack business Entrepreneurs intégral max la solution tout en 1 !
Cyber-Sphinx Séance 2.
Structure D’une Base De Données Relationnelle
DNS ET DHCP SOUS LINUX INSTALLATION ET CONFIGURATIONS EXPOSE GROUPE 2 THEME:THEME: REDIGE PAR IBRAHIMA FAYE.
Guide n°1 Formation initiale
SyncoTM 200 Fonctionnement et mise en service
Les classes et les objets
Prélude CS Mode client-serveur
„La plate-forme EAI “ Initiation à WBI
Objectifs Pourquoi utiliser EndNote ? Créer une base de données EndNote.
Définition :. Pourquoi le GEMMA ? GEMMA : l'acronyme GEMMA signifie : Guide d'Etude des Modes de Marche et d'Arrêt. Comme son nom l'indique, c'est un guide.
Introduction au Système d’exploitation Ms-DOS
Extractions personnalisées
FRAMEWORKS : XMLBEANS / STRIPES
5.6 Documentation du SCI Certains documents doivent être gardés chez chaque paysan ainsi qu’au bureau du SCI (tel que prescrit par le Manuel du SCI:
Apprentissage de la lecture au cycle 2
Présentation PISTE pour les partenaires raccordés en API
THEME : LE BIOS ET LES REGISTRES. INTRODUCTION : Le fonctionnement de l’ordinateur dépend de plusieurs programmes et matériel tel que les BIOS et registres.
Configuration post installation
Les Commandes de base Linux. 1 L’aide sur les commandes Linux ◦ help : obtenir de l’aide pour une commande interne du shell. Elle permet aussi d'afficher.
Transcription de la présentation:

“Laisser sa trace dans un fichier” AUDITD “Laisser sa trace dans un fichier” { "signature": { "nom": "Phil Leblond", "fonction": "Consultant en Securite/Pen Tester" }

AUDITD WTF? Service qui permet de suivre certains éléments de securité sur vos systèmes. Basé sur des règles pré-définies. Enregistre les événements systèmes dans un fichier journal.

Cas d’Usage Surveillance d’accès aux fichiers Ex: accès,modification,execution ou changement des attributs sur le fichier /etc/passwd. Surveillance des “System Calls” Ex: génère un log lorsque kill ( sys_kill ) est invoqué. Suivi des commandes par usagers (UID) Ex: surveillance des commandes exécutées par un usager. Enregistre les évenements de sécurité Ex: enregistre tous les tentatives de connexion non-réussites. Recherche d’évenements Ex: Recherche dans le fichier de journal pour certaines conditions particulières. Génération de rapports Ex: Création de rapports journaliers.

Installation Présent par défaut dans une installation de base de RHEL 7. Aucunes règles de définies par contre. Si pour X raisons le package n’est pas installé, installez le avec la commande suivante: root@box01[~]# yum install audit

Configuration La configuration du daemon se fait via le fichier suivant: /etc/audit/auditd.conf Une liste complète des paramètres de configuration se retrouvent dans le “man page” audit.conf(5). Comme la plupart des fichiers de configuration, les lignes vides et le caractère dièse (#) sont ignorés.

Mise en route Démarrer le service Audit avec cette commande: root@box01[~]# service auditd start Voici les actions possibles à la commande précédente: stop Arrête le service restart Redémarre le service reload ou force-reload Relis les modifications du fichier /etc/audit/auditd.conf status Affiche l’état du service resume Réactive le service condrestart ou try-restart Redémarre le service seulement s’il était actif.

Édition des règles Les règles peuvent être écrites via l’outil auditctl (non-persistent) ou directement à la main dans le fichier de configuration /etc/audit/audit.rules (persistent). 3 types de règles possibles: “Control Rules” - Permet de changer la configuration du daemon. “File System Rules” - Permet de surveiller l’accès aux fichiers. “System Call Rules” - Permet l’audit des appels systèmes.

Édition des règles ( suite ) Des règles pré-définies existent pour différent standards de certifications. Elles sont dans le répertoire /usr/share/docs/audit-version/ (Ex: NIST,CAPP,STIG … )

Dissection du fichier journal Le fichier de journal par défaut est /var/log/audit.log Exemple d’entrée dans le fichier: type=USER_AUTH msg=audit(1364475353.159:24270): user pid=3280 uid=500 auid=500 ses=1 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=PAM:authentication acct="root" exe="/bin/su" hostname=? addr=? terminal=pts/0 res=failed' Que s’est-il passé? Liste et explication de toutes les valeurs “type” possibles ici: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Security_Guide/sec-Audit_Record_Types.html

Auditd ++ ausearch Outils qui peuvent vous faciliter la vie. aureport Permet de faire des recherches dans le fichier de journal. aureport Création de rapports basés sur le fichier journal. ausyscall Mapping entre les numéros et noms des “syscall”

DEMO

FAQ

I AUDITD Références: Linux Audit: http://people.redhat.com/sgrubb/audit/ Redhat Security Guide: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Security_Guide/chap-system_auditing.html