Discussion :

[Charbour]

Bonsoir à tous,

Lorsqu'on veut auditer un système suite à des kernel panic (sans traces), quelles sont les best practices et les outils qu'on peut utiliser? Et par où commencer et par quoi finir?
Je précise qu'il s'agit bien d'un audit de la configuration d'un système Linux RedHat.
C'est fou la quantité de documents, de procédures prêtes à l'emploi, de scripts, d'outils, etc. qu'on peut trouver sur google sur les audits de sécurité/réseau ! Mais je n'ai rien trouvé sur l'audit du système lui-même et sa configuration...
Et je n'arrive vraiment pas expliquer cela. Est-ce parce qu'on fait jamais des audits OS tout seul ?
J'ai donc espoir que des contributeurs ici vont m'aider dans mon audit, et m'expliquer pourquoi je ne trouve rien...

D'avance Merci.

[frp31]

tu n'as pas du chercher correctement/bien requetter dans google.

l'audit minimal en gros c'est un save des logs /var/log à minima et /var/crash si tu as la chance d'avoir un dump mémoire à l'instant du crash
mais dans 90% des cas ton audit ne ménera à rien parce que tu ne saura pas "lire" le contenu affiché par ces éléments ou les re-couper entre-eux.
le mail de root aussi est interessant , mais souvent les gens n'y font pas remonter les messages système...



dans les 10% restant c'est QUE si tu as configuré ton Kernel et d'autres éléments pour tracer les crashs ce qui n'est pas par défaut en place parce que ça implique des partitionnements spécifiques et la gestion de volume adéquate. auditd, /etc/audit/audit.rules, dmesg, fsck, smartctl, etc... etc....

Par exemple /var/crash doit à tout prix être plus grand que la ram et séparer de /var pour éviter que /var ne soit plein
par exemple : /var 90% occupé 2Go de libre manque de bol ta ram est de 4G dont 3 utilisé tu l'as dans le .... le dump se crée pas au moment du crash ton analyse sera fausse et incomplete voire impossible

[Charbour]

Bonjour frp31,

Merci pour ces pistes. Sur google (et même si ce forum), ce que je cherche ce sont des procédures de best practices, des outils, des scripts, etc. En gros, comment il faut procéder lorsqu'on veut juste auditer la configuration d'un OS que cela soit suite à un kernel panic ou non. Et là-dessus, il y a plein de truc sur l'audit sécurité, mais rien pour ce que je cherche (et ça m'énerve...)

Sinon,

- Comment tu fais toi pour ""lire" le contenu affiché par ces éléments ou les re-couper entre-eux" ?

- Je connais bien le principe de fonctionnement de kdump, je viens de le mettre en place pour le prochain crash...

- J'ai bien sûr, le /var/log. Mais il n'y a rien dedans qui peut aider à trouver le root cause du kernel panic.

- Mais encore une fois, au-delà de la collect des informations suite à un crash, oops, freeze, etc., je suis plus à la recherche d'une méthodologie et d'outils dans l'absolu..

Merci.