Surveillance et audits

Transcription

1 Surveillance et audits Syslog Fonctionnement de syslog Le service syslog gère les messages générés par les processus systèmes (qui, par définition, n'interagissent pas avec la console). Ces processus envoient leurs messages au démon syslogd qui se charge de les transmettre vers une destination au choix de l'administrateur: Dans un fichier journal (ou un périphérique), Sur la ou les consoles d'un ou de plusieurs utilisateurs, Sur la console système, Au démon syslogd d'une autre machine. Les messages sont transmis dans un format standard (tous les syslog de tous les systèmes de type UNIX sont compatibles) dont les champs (séparés par des espaces) ont la forme suivante : date et heure nom d'hôte nom du processus[pid]: message Le nom d'hôte correspond à l'hôte sur lequel le processus qui a émi le message fonctionne (et non à l'hôte sur lequel fonctionne syslogd), et la date et l'heure correspondent à la date d'émission du message (et non la date de réception par syslogd). Exemple de message: # tail -n 1 /var/log/ftplog Oct 7 15:17:00 servux ftpd[23824]: FTP LOGIN FAILED FROM s3p14 Configuration de syslog On peut configurer la destination des messages transmis par syslogd à l'aide du fichier /etc/syslog.conf. Une entrée dans le fichier de configuration /etc/syslog.conf est composée de deux champs séparés par des tabulations. Ces champs sont: sélecteur et action. Le champ sélecteur permet de créer un filtre sur les messages en fonction de leur fonction et de leur niveau. Il a la forme suivante: fonction.niveau. Plusieurs sélecteurs peuvent être précisés pour une seule destination, il suffit de les séparer par des points virgules. Le champ action permet de préciser la destination des messages correspondants à ce filtre.

2 Les fonctions possibles sont: auth Messages de sécurité ou d'authentification système. auth_priv Messages de sécurité ou d'authentification des applications. cron Messages des démons horaires (cron et at). ftp Messages des démons ftp (ftpd, tftpd,...). daemon Messages des démons sans classification particulière. kern Messages du noyau ou des pilotes de périphériques. local0 à local7 Messages des applications non systèmes. lpr Messages du système d'impression/spooler. mail Messages du système de courier sortant/entrant. news Messages du système de news USENET. syslog Messages internes de syslogd. user Messages utilisateurs génériques. uucp Messages du système réseau UUCP. * Messages de toutes provenances. Les niveaux possibles sont (par ordre croissant d'importance) : debug Messages de mise au point de programme. info Messages d'informations simples. notice Conditions qui ne sont pas des conditions d'erreur, mais qui nécessitent un traitement particulier. warning Messages d'avertissements. err Messages d'erreurs non critiques. crit Messages d'erreurs critiques. alert Conditions d'erreurs graves qui doivent être prises en compte le plus rapidement possible. emerg Le système est inutilisable ou a planté suite à une erreur logicielle ou à un problème matériel. * Tous les messages, quelque soit leur importance. none Tous les messages sauf ceux de la fonction indiquée. Le champ action permet de diriger les messages vers: /fichier Un fichier (quel que soit son type). Doit être un chemin absolu. Le message est ajouté à la fin du Nom(s) d'hôte(s) vers lequel les messages doivent être transmis. Ces hôtes doivent exécuter syslogd. user1, user2,... Écrit les messages sur les consoles des utilisateurs listés. * Écrit les messages sur les consoles de tous les utilisateurs connectés. Exemples d'entrées de /etc/syslog.conf: *.info;mail.none;authpriv.none;cron.none /var/log/messages mail.* /var/log/maillog cron.* /var/log/cron *.emerg * Toute modification du fichier /etc/syslog.conf nécessite une relecture de ce dernier à l'aide du signal SIGHUP: # pkill -HUP syslogd

3 Utilisation de syslog Les processus systèmes et les programmes utilisent directement le service syslog, et il est possible de l'utiliser dans des scripts ou manuellement (pour tester les modifications faites au fichier /etc/syslog.conf par exemple). Pour cela, il faut utiliser la commande logger. Par exemple, la commande suivante : # logger -p "daemon.crit" -t "test" -i "mon message" Envoie le message suivant : oct 7 17:49:40 s3p14 test[8653]: mon message En règle général, syslogd est configuré pour envoyer les messages les plus courants dans le fichier /var/log/messages. Il est possible de visualiser en temps réel les messages à l'aide de la commande tail comme ceci: # tail -f /var/log/messages Log viewer Il est possible de visualiser en temps réel les fichiers de logs à l'aide de l'outil graphique log viewer. Utilitaires d'audit On trouve sur Linux beaucoup d'outils d'audit système, dont certains vous sont déjà familiers, et qui sont utilisés aussi bien par les administrateurs que par les utilisateurs. Who L'utilitaire who peut fournir les informations suivantes: Une liste courte du nombre total d'utilisateurs connectés: # who -q toto toto toto toto # usager=4 Qui est connecté au système: # who -H NOM LIGNE HEURE COMMENTAIRE toto :0 Oct 10 10:49 Les caractéristiques de la connexion du terminal courant: # who -m # who am i # who je suis # who is god # who qui suisje etc...

4 w L'utilitaire w affiche les utilisateurs connectés et ce qu'ils font: # w -s 11:46:58 up 2:04, 4 users, load average: 0.10, 0.03, 0.15 USER TTY FROM IDLE WHAT toto :0 -? /usr/bin/gnome-session toto pts/0 : s gnome-terminal toto pts/1 :0.0 8:58 ssh -l michelon fo01 toto pts/2 :0.0 1:18 man w last La commande last peut être utilisée pour déterminer toutes les connexions/déconnexions d'un utilisateur: # last ttoto ttoto ttyp0 s3p14 Ven 10 oct 11:49 still logged in ttoto ttyp0 s2p01 Mer 8 oct 10:02-10:02 (00:00) ttoto ttyp0 s2p01 Mer 8 oct 09:54-09:56 (00:01) Les reboot système peuvent être tracés aussi car le pseudo utilisateur appelé "reboot" est enregistré comme connecté quand le système redémarre: # last reboot reboot system boot Fri Oct 10 09:43 (02:08) reboot system boot Wed Oct 8 11:56 (1+06:42) reboot system boot Wed Oct 8 09:25 (02:12) uptime La commande uptime nous renseigne depuis quand le système fonctionne et la charge de celui ci: # uptime 11:55:48 up 2:13, 4 users, load average: 0.00, 0.00, 0.07 ps La commande ps liste les processus en cours d'exécution sur le système. Par défaut, ps n'affiche que vos processus, si ils sont attachés à un terminal. Syntaxe de la commande ps ps [ options ] Options -l Affichage long. -x Afficher les processus non attachés à un terminal. -a Afficher les processus de tous les utilisateurs. Exemples d'utilisation de la commande ps # ps -axl F UID PID PPID PRI NI VSZ RSS WCHAN STAT TTY TIME COMMAND schedu S? 0:03 init contex SW? 0:00 [keventd] schedu SW? 0:00 [kapmd] schedu S? 0:00 syslogd -m do_sys S? 0:00 klogd -x schedu S? 0:00 [portmap] schedu SW? 0:00 [rpc.statd] schedu S? 0:00 /usr/sbin/apmd -p 10 -w 5 -W -P / schedu S? 0:00 /usr/sbin/sshd schedu S? 0:00 xinetd -stayalive -reuse -pidfile schedu S? 0:00 /usr/sbin/dhcpd

5 schedu S? 0:00 gpm -t imps2 -m /dev/mouse schedu S? 0:00 crond schedu S tty5 0:00 /sbin/mingetty tty schedu S tty6 0:00 /sbin/mingetty tty schedu S tty1 0:00 -bash wait4 S pts/1 0:00 bash schedu S pts/1 0:01 ssh -l michelon servux wait4 S pts/2 0:00 [su] wait4 S pts/2 0:00 -bash R pts/2 0:00 ps axl La commande pstree Vous pouvez visualiser l'arbre des processus à l'aide de la commande pstree. Syntaxe de la commande pstree pstree [ options ] [ user pid ] Options -a Afficher les lignes de commandes de processus. -h Afficher le processus courant en gras. -p Afficher les PID. -n Trier selon les PID (et non selon les noms). -u Afficher les changements d'uid. Exemple d'utilisation # pstree -aun init (keventd) (kapmd) (ksoftirqd_cpu0) (kswapd) login bash gnome-terminal,toto (gnome-pty-helpe) bash (su,root) bash pstree -aun more bash man pstree sh -c... sh -c... less -isr (rpciod) (lockd)

6 La commande top La commande top examine et affiche en temps réel l'activité des processus. Les processus les plus actifs sont affichés en premier, et il est possible de manipuler l'affichage et les processus de façon interactive. Syntaxe de la commande top top [ options ] Options -d sec Fixer le délai de rafraîchissement à sec secondes. -i N'afficher que les processus actifs. -p pid N'afficher que le processus de PID pid (peut être précisé plusieurs fois). Les informations affichées par défaut sont, pour l'en tête: Première ligne: Affiche le temps depuis le démarrage du système, le nombre d'utilisateurs courant ainsi que la charge moyenne. Deuxième ligne: Affiche les informations résumées sur les processus: nombre de processus, nombre de processus actifs, zombies et en pause. Troisième ligne: Affiche les informations sur la charge des processeurs. Quatrième et cinquième ligne: Affiche les informations sur la mémoire virtuelle et partagée. Sixième ligne: Affiche les informations sur les zones de swap. Vient ensuite les informations sur les processus: PID PID du processus. USER Nom du propriétaire du processus. PRI Priorité du processus. NI Valeur de nice du processus (priorité d'ordonnancement). SIZE Taille en mémoire du code et de la pile du processus, en Ko. RSS Taille totale en mémoire du processus, y compris les librairies partagées, en Ko. SHARE Taille totale de mémoire partagée utilisée, en Ko. STAT État du processus. (S=sleep, R=running, Z=zombies, T=traced,paused) %CPU Temps processeur utilisé en pourcent depuis le dernier affichage. %MEM Total de la mémoire virtuelle utilisé en pourcent. TIME Temps cumulé de processeur utilisé depuis le démarrage du processus. CPU Numéro du processeur qui exécute se processus. COMMAND La ligne de commande qui a lancé le processus. La commande df La commande df affiche des informations sur chaque système de fichiers monté: # df -h SysFichier Tail. Util.Disp. Uti% Monté sur /dev/hda3 3.9G 1.5G 2.2G 41% / none 251M 0 251M 0% /dev/shm /dev/hda6 2.4G 34M 2.3G 2% /opt Ou sur un système de fichiers en particulier: # df -h /opt SysFichier Tail. Util.Disp. Uti% Monté sur dev/hda6 2.4G 34M 2.3G 2% /opt

7 La commande du La commande du indique le nombre de secteurs/octets/... occupés par des répertoires et des fichiers: # du -h /usr/x11r6/lib/x11/fonts 996K /usr/x11r6/lib/x11/fonts/ttf 5.1M /usr/x11r6/lib/x11/fonts/100dpi 4.6M /usr/x11r6/lib/x11/fonts/75dpi 4.0K /usr/x11r6/lib/x11/fonts/cid 4.0K /usr/x11r6/lib/x11/fonts/otf 580K /usr/x11r6/lib/x11/fonts/speedo 2.9M /usr/x11r6/lib/x11/fonts/type1 348K /usr/x11r6/lib/x11/fonts/encodings/large 500K /usr/x11r6/lib/x11/fonts/encodings 4.0K /usr/x11r6/lib/x11/fonts/local 6.6M /usr/x11r6/lib/x11/fonts/misc 192K /usr/x11r6/lib/x11/fonts/util 22M /usr/x11r6/lib/x11/fonts vmstat La commande vmstat permet de suivre en temps réel l'activité de la mémoire virtuelle, des zones de swap, des processus, des entrées/sorties et des processeurs: # vmstat 1 procs memory swap io system cpu r b w swpd free buff cache si so bi bo in cs us sy id grep Les fichiers de logs étant au format texte, la commande grep est un des outils les plus utilisés pour l'audit. Exemple: # grep "su" /var/log/messages oct 10 10:50:26 s3p14 su(pam_unix)[3589]: session opened for user root by toto(uid=500) oct 10 12:01:53 s3p14 su(pam_unix)[9938]: authentication failure; logname=toto uid=500 euid=0 tty= ruser=toto rhost= user=root Exemple sur FreeBSD: # grep "su:" /var/log/loginlog Jun 12 17:45:32 servux su: michelon to root on /dev/ttyp0 Jun 12 18:05:48 servux su: BAD SU jperignon to lthevenet on /dev/ttyp0 Jun 12 18:06:01 servux su: jperignon to lthevenet on /dev/ttyp0 Jun 13 11:05:52 servux su: BAD SU msoisson to oracle on /dev/ttype free La commande free affiche la somme totale de mémoire physique et des zones de swap, ainsi que leur utilisation (mémoire libre, partagée, buffers I/O, cache disque,...): En kilo octets: # free total used free shared buffers cached Mem: /+ buffers/cache: Swap: