Qu'est ce qui laisse des traces dans les logs

Bonjour à tous.

Dans le cadre d'un module de sécurité informatique, le prof nous a posé une question ouverte. Sur une distribution linux standard, qu'est ce qui laisse des traces dans les logs ? Que peut on reconstruire comme activité à partir de ces logs ?

Peut on imaginer voir ce qu'un utilisateur a ouvert, consulté, où il est allé ? Ou ca va se borner à du diagnostique système ?

Merci =). David

A peu près tout. Tout dépend comment va être configuré ton système, mais de façon simple, tu vas pouvoir identifier qui s'est logué, s'il a fait des échecs de login, les commandes qui ont été passées, les fichiers/chemins de destination. De base, je ne crois pas, que tu puisses avoir accès au contenu modifié (telle ligne, par exemple).

Tu peux identifier par exemple que toto s'est connecté depuis une connexion distante, qu'il a ouvert le fichier /etc/passwd, qu'il l'a fermé et copié sur un autre répertoire.

Après, lire des fichiers de log à la main, c'est chiant.

J'ai un petit tuto en préparation (loin d'être fini d'ailleurs) sur la gestion des logs et la surveillance sécurité qui reprendra en partie cette approche.

EDIT : Quelques exemples balancés comme ça:

1

` 2014-12-16T11:14:38.802446+01:00 maMachine sudo: UTILISATEUR1 : TTY=pts/1 ; PWD=/home/UTILISATEUR1 ; USER=root ; COMMAND=/bin/su - UTILISATEUR2 -s /bin/bash

1

`type=SYSCALL msg=audit(1420541374.096:127): arch=40000003 syscall=5 success=yes exit=4 a0=80d0618 a1=8000 a2=0 a3=80d0609 items=1 ppid=1964 pid=23931 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=7 comm="less" exe="/usr/bin/less" subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key="ZdS"

A peu près tout. Tout dépend comment va être configuré ton système, mais de façon simple, tu vas pouvoir identifier qui s'est logué, s'il a fait des échecs de login, les commandes qui ont été passées, les fichiers/chemins de destination. De base, je ne crois pas, que tu puisses avoir accès au contenu modifié (telle ligne, par exemple).

Tu peux identifier par exemple que toto s'est connecté depuis une connexion distante, qu'il a ouvert le fichier /etc/passwd, qu'il l'a fermé et copié sur un autre répertoire.

je me place dans un contexte institution/entreprise : ca ferait pas beaucoup beaucoup de log de garder qui accède à quel fichier (surtout dans les cas sans erreur) ? Car bon, ca a beau être du texte et se compresser assez bien, ca fait vite du volume quand y'a 1000/2000 utilisateurs.

Expérience vécue dans une entreprise de taille conséquente, côté surveillance sécurité, on avait un périmètre très restreint: collecte de logs applicatifs (apache, SAP, Oracle, homemade), des logs firewall, quelques logs proxy, et un peu de log systèmes (dont toute cette partie accès sur les serveurs). Ca nous générait environ 200 eps (ce qui est vraiment rien dans ce contexte), on avait, en compressé environ 150mo par jour d'archive, conservable sur l'année.

Dans des cas plus gros, où tu rentres à plus de 7000 eps, ben tu vas pouvoir approcher ou dépasser le giga en compressé, que tu dois stocker sur une année.

Quand tu commences à réfléchir à une politique de log management, il va y avoir une question d'analyse des logs en post-mortem (donc après un incident), à ce moment là, tu vas être content de savoir qu'après avoir accès à zestedesavoir.com, l'utilisateur toto a supprimé des fichiers, puis a tenté de faire un bruteforce de compte.

C'est assez résumé comme réflexion, mais aujourd'hui les capacités de stockage sont telles qu'en plus des réglementations qui vont t'imposer 1 an de conservation de certains logs, tu vas avoir 20,30,40 To de stockage. Les problématiques de stockage sont pas vraiment les plus chiantes à régler.

Ok, ok. je pense pouvoir passer le sujet en résolu.