Discussion :

[_ChToM_]

Salut tous,

voila, j'aimerai savoir si on peut tracer les appels aux binaires contenus dans /usr/bin par exemple ?

En fait, mon problème est que j'aimerai tracer l'activité des utilisateurs qui se connectent en ssh sur une machine. Syslog, c'est pas mal mais par exemple, je ne vois pas ce qu'il se passe lors de l'execution d'un script, ou du lancement d'une commande dans un emacs etc... Syslog ne voit que l'appel à emacs ou le lancement du script, mais pas ce qu'il se passe à l'intérieur du script. Si l'utilisateur fait des actions non autorisées, je ne peux pas le voir. Je précise que l'utilisateur est obligé de lancer sudo pour invoquer des commandes dans son shell.

Je suis sous Debian 3.1

En esperant que vous saurez me répondre.

@ +

[lu6fer]

je dirais, vérifie le niveau de verbosité dans syslog, peu être cela résoudra t il ton problème.

Sinon j'ai une autre solution, c'est un peut barbare, voir même beaucoup, mais bon.

tu copie l'intégralité de ton répertoire dans un autre, tu créer autant de fichier shell, qu'il y a d'exécutable dans ton répertoire déplacé, est dans chaque fichier shell (sans extension) tu appel l'exécutable en question avec une écriture dans un fichier de log contenant le nom du l'utilisateur qui l'a lancer et autre.

personne ne verra la différence, et tu aura tes info.

bon après, c'est quand même très barbare, et je pense qu'avec syslog tu devrai t'en sortir

[_ChToM_]

C'est un tout petit peu barbare... :p

Surtout que la solution que je cherche serait à déployer sur un parc informatique de plusieurs machines...

Pour le niveau de verbosité de Syslog, justement, je ne comprends pas. J'ai mis

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

*.*   /var/log/mes_logs

et ca ne me crache vraiment pas grand chose.

L'idéal, ca serait de trouver une solution avec le syslog, en tout cas, ne pas toucher aux binaires du système.

Je me suis dit que comme Linux se basait sur des appels à des fichiers binaires, il devait bien y avoir moyen de tracer l'execution des binaires...

[ggnore]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

lsof | grep /usr/bin

un truc de ce genre ?

[_ChToM_]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

lsof | grep /usr/bin

C'est pas mal, le probleme, c'est que ca ne marche que pour le shell ou il est lancé ?
Dans une autre fenêtre, je lance nano par exemple, et ca ne me l'attrape pas

[frp31]

simple copies tous les binaires dans /usr/bin/reel
et apres remplace tous les binaires dee /usr/bin par un lien vers un script qui fait


echo lance truc >> log
truc

bien sur c'est long a faire alors utilises un script pour l'automatiser

[_ChToM_]

Malheureusement pour moi, ca n'est meme pas envisageable.

La ferme de serveurs est conséquente, et surtout, je n'ai pas accès aux machines.
Je ne peux modifier que la configuration du système (sudoers, syslog et écriture de script). Non pas la structure du système.

Genre, ecrire un script de supervision du système, c'est faisable, j'ai les accès root.

[frp31]

plus simple et beaucoup plus propre....

tu peux faire un petit script qui fait des ps sur une liste de binaires et awk le user

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
for i in $(cat liste-bin) ; do  echo $i" "$(ps -ef | grep $i | awk '{print $1"   "$5}') >> log ; done
#triage des infos 
#mail d'alerte eventuelle

[valefor]

Oui mais avec ce genre de surveillance tu peux louper des programmes qui se sont exécutés entre deux commande ps non ?

[_ChToM_]

Yes, justement c'est ce que je voudrais éviter...

[frp31]

c'est vrai mais un binaire qui dure moins de 1 ou 3 secondes c'est ls ou cd....

et tu auras le même problème si tu utilises lsof et consort ou si tu analyses en permanance le contenu de /proc/[0-9].*[0-9]/cmdline

entre chaque meusures tu as tjrs le delai de traitement....

[valefor]

Il n'y a pas moyen d'exploiter les historiques du shell ? En empêchant l'utilisateur de le vider ?

[_ChToM_]

Il n'y a pas moyen d'exploiter les historiques du shell ? En empêchant l'utilisateur de le vider ?

Non car on ne voit que le lancement du script et non pas ce qu'il exécute réellement...

Pour la solution de frp31

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
for i in $(cat liste-bin) ; do  echo $i" "$(ps -ef | grep $i | awk '{print $1"   "$5}') >> log ; done
#triage des infos 
#mail d'alerte eventuelle

ca ne marche pas bien.
J'ai fait le test avec un script qui fait 2 ls et un sleep d'une seconde et au final, ca ne m'attrape que les sleep et parfois les ls.

Peut être en cherchant du côté du /proc/* ? Ca change quelque chose au niveau des performances ?

[Elv13]

Comment dire nimporte quoi:

Hacker les sources de bash (ou sh, zsf, peu importe) pour qu'il fasse un log exaustif et déployé la version modifié?

[_ChToM_]

malheureusement, je recherche une solution pour un déploiement dans le milieu pro... donc performant et securise. j ai trouvé une piste du coté de Grsecurity.

Probleme ca impose une recompilation du noyau

[Celelibi]

Si à la base ta sécurité est bien faite, tu n'as pas besoin de ça.

En fait, ce que tu veux faire, revient à être informé pour une bonne partie des appels systèmes réalisés par les programmes.
strace te permet de le faire, mais ça ralenti l'exécution des programmes et c'est assez difficile à faire de manière automatique.

Au final, grsec me semble la meilleure solution.

[_ChToM_]

Alors le problème de strace, c'est que non seulement c'est difficile à mettre en place, mais en plus il faut reformater les traces !

Je pense avoir trouvé mon bonheur du côté de SNARE ( http://www.intersectalliance.com/projects/index.html )
J'ai réussi a tracer les appels à ls / echo situés dans un script.sh
Et aussi l'execution de commande dans le shell de vi

Ca demande une petite configuration mais ca marche vraiment pas mal.
Et ca génére des logs complets et bien formatés.

Que demander de plus.

En plus, l'agent (car il y a aussi un serveur) est gratuit et multiplateforme.

Considérons ce problème comme résolu.

Merci pour le coup de main.

@ bientot.