La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

“Laisser sa trace dans un fichier”

Publié parRaymonde Bossé Modifié depuis plus de 5 années

Présentations similaires

Présentation au sujet: "“Laisser sa trace dans un fichier”"— Transcription de la présentation:

1 “Laisser sa trace dans un fichier”
AUDITD “Laisser sa trace dans un fichier” { "signature": { "nom": "Phil Leblond", "fonction": "Consultant en Securite/Pen Tester" }

2 AUDITD WTF? Service qui permet de suivre certains éléments de securité sur vos systèmes. Basé sur des règles pré-définies. Enregistre les événements systèmes dans un fichier journal.

3 Cas d’Usage Surveillance d’accès aux fichiers
Ex: accès,modification,execution ou changement des attributs sur le fichier /etc/passwd. Surveillance des “System Calls” Ex: génère un log lorsque kill ( sys_kill ) est invoqué. Suivi des commandes par usagers (UID) Ex: surveillance des commandes exécutées par un usager. Enregistre les évenements de sécurité Ex: enregistre tous les tentatives de connexion non-réussites. Recherche d’évenements Ex: Recherche dans le fichier de journal pour certaines conditions particulières. Génération de rapports Ex: Création de rapports journaliers.

4 Installation Présent par défaut dans une installation de base de RHEL 7. Aucunes règles de définies par contre. Si pour X raisons le package n’est pas installé, installez le avec la commande suivante: yum install audit

5 Configuration La configuration du daemon se fait via le fichier suivant: /etc/audit/auditd.conf Une liste complète des paramètres de configuration se retrouvent dans le “man page” audit.conf(5). Comme la plupart des fichiers de configuration, les lignes vides et le caractère dièse (#) sont ignorés.

6 Mise en route Démarrer le service Audit avec cette commande:
service auditd start Voici les actions possibles à la commande précédente: stop Arrête le service restart Redémarre le service reload ou force-reload Relis les modifications du fichier /etc/audit/auditd.conf status Affiche l’état du service resume Réactive le service condrestart ou try-restart Redémarre le service seulement s’il était actif.

7 Édition des règles Les règles peuvent être écrites via l’outil auditctl (non-persistent) ou directement à la main dans le fichier de configuration /etc/audit/audit.rules (persistent). 3 types de règles possibles: “Control Rules” - Permet de changer la configuration du daemon. “File System Rules” - Permet de surveiller l’accès aux fichiers. “System Call Rules” - Permet l’audit des appels systèmes.

8 Édition des règles ( suite )
Des règles pré-définies existent pour différent standards de certifications. Elles sont dans le répertoire /usr/share/docs/audit-version/ (Ex: NIST,CAPP,STIG … )

9 Dissection du fichier journal
Le fichier de journal par défaut est /var/log/audit.log Exemple d’entrée dans le fichier: type=USER_AUTH msg=audit( :24270): user pid=3280 uid=500 auid=500 ses=1 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=PAM:authentication acct="root" exe="/bin/su" hostname=? addr=? terminal=pts/0 res=failed' Que s’est-il passé? Liste et explication de toutes les valeurs “type” possibles ici:

10 Auditd ++ ausearch Outils qui peuvent vous faciliter la vie. aureport
Permet de faire des recherches dans le fichier de journal. aureport Création de rapports basés sur le fichier journal. ausyscall Mapping entre les numéros et noms des “syscall”

11 DEMO

12 FAQ

13 I AUDITD Références: Linux Audit:
Redhat Security Guide:

Télécharger ppt "“Laisser sa trace dans un fichier”"

Présentations similaires

Le débogage Semaine 12 Version A15. Plan de leçon - Débogage  Commentaire javadoc  Définition  Fonctionnement  Point d’arrêt  Exécution  Contrôler.

Le débogage Semaine 12 Version A15. Plan de leçon - Débogage  Commentaire javadoc  Définition  Fonctionnement  Point d’arrêt  Exécution  Contrôler.
Travail réalisé par : Abdessamad BOUTGAYOUT Encadré par : Mr. Ahmed REBBANI LP SRI - ENSET Mohammedia - 2012.

Travail réalisé par : Abdessamad BOUTGAYOUT Encadré par : Mr. Ahmed REBBANI LP SRI - ENSET Mohammedia
C++ Les fonctions. Présentation Utilité : Dès qu'un programme dépasse la centaine de lignes de code, il est pratique de pouvoir le décomposer en plusieurs.

C++ Les fonctions. Présentation Utilité : Dès qu'un programme dépasse la centaine de lignes de code, il est pratique de pouvoir le décomposer en plusieurs.
Découverte d'Ubuntu Premiers pas dans un nouvel univers Frédéric Mandé.

Découverte d'Ubuntu Premiers pas dans un nouvel univers Frédéric Mandé.
Des commandes plus avancées I. Les processus Lister des processus : ps & top Arrêter des processus : kill II. Recherche Rechercher des fichiers : find.

Des commandes plus avancées I. Les processus Lister des processus : ps & top Arrêter des processus : kill II. Recherche Rechercher des fichiers : find.
1- Introduction 1ère partie Le langage SQL 2- Connexion 3- Structure & Contenu 4- Requêtes.

1- Introduction 1ère partie Le langage SQL 2- Connexion 3- Structure & Contenu 4- Requêtes.
1 Doxygen. 2 Doxygen : qu’est-ce que c’est ? Code C++, Java,... ● Un générateur de documentation – pour C + +, mais aussi C, Java, Fortran,... – Il fonctionne.

1 Doxygen. 2 Doxygen : qu’est-ce que c’est ? Code C++, Java,... ● Un générateur de documentation – pour C + +, mais aussi C, Java, Fortran,... – Il fonctionne.
Février 2006X. Belanger / Guilde Introduction à. Février 2006X. Belanger / Guilde Qu'est ce que Samba ? ● Implémentation libre du protocole CIFS/SMB (client.

Février 2006X. Belanger / Guilde Introduction à. Février 2006X. Belanger / Guilde Qu'est ce que Samba ? ● Implémentation libre du protocole CIFS/SMB (client.
Go2ACT Echange de données entre les géomètres officiels et l’Administration du Cadastre et de la Topographie.

Go2ACT Echange de données entre les géomètres officiels et l’Administration du Cadastre et de la Topographie.
Linux1 Utilisateurs et groupes. ● Le contrôle des utilisateurs et groupes est au coeur de l'administration de système de Linux. ● Utilisateurs : personnes.

Linux1 Utilisateurs et groupes. ● Le contrôle des utilisateurs et groupes est au coeur de l'administration de système de Linux. ● Utilisateurs : personnes.
Après 3 séances Tous les binômes ont commencé l'exercice « Formes »

Après 3 séances Tous les binômes ont commencé l'exercice « Formes »
Terminaux virtuels (VTY)

Terminaux virtuels (VTY)
AMUE – SIFAC Intégration Fichier Mouvements BDF

AMUE – SIFAC Intégration Fichier Mouvements BDF
Outils (MailIntegration et autres)

Outils (MailIntegration et autres)
Diffusion en streaming de vidéos d’assistance au dépannage

Diffusion en streaming de vidéos d’assistance au dépannage
Eric b, emmanuel l, damien t

Eric b, emmanuel l, damien t
Mettre à jour les données

Mettre à jour les données
LimeSurvey : Logiciel Open Source pour réaliser des enquêtes

LimeSurvey : Logiciel Open Source pour réaliser des enquêtes
Environnement du développement de BD ORACLE REPORTS 10g

Environnement du développement de BD ORACLE REPORTS 10g
Pack business Entrepreneurs intégral max la solution tout en 1 !

Pack business Entrepreneurs intégral max la solution tout en 1 !

Présentations similaires

Annonces Google