Auditoria Linux (snoopy)
EPEL CentOS/RHEL 6
# rpm -Uvh http://epel.gtdinternet.com/6/x86_64/epel-release-6-8.noarch.rpm
Após adicionar seu repositório limpe o cache e atualize o repositório:
# yum clean all
# yum -y update
Instalar:
# yum -y install psacct snoopy rsyslog rsyslog-relp
Crie o arquivo de referencia para a lib da ferramenta:
# echo "/lib64/snoopy.so" > /etc/ld.so.preload
Criar o arquivo de log, vamos utilizar o /var/log/pacct:
# touch /var/log/pacct
Executar o comando abaixo para iniciar a contabilização dos processos:
# accton /var/log/pacct
Pronto !! Agora temos as ferramentas em funcionamento !
Configurando o rsyslog para enviar os logs para o servidor:
#### Modulos ####
$ModLoad imuxsock #Suporte para logs locais do sistema
$ModLoad imklog #Suporte para logs do kernel
$ModLoad immark #Suporte para marcação das mensagens
$ModLoad omrelp #Suporte para evitar perda de dados no envio das mensagens
# FORMATO PADRAO - TimeSTAMP
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
# PERMISSOES DO ARQUIVO DE LOG
$FileOwner root
$FileGroup adm
$FileCreateMode 0640
$DirCreateMode 0755
# REGRAS
auth,authpriv.* /var/log/auth.log
*.*;auth,authpriv.none -/var/log/syslog
daemon.* -/var/log/daemon.log
kern.* -/var/log/kern.log
lpr.* -/var/log/lpr.log
mail.* -/var/log/mail.log
user.* -/var/log/user.log
Adicionar "start" automático do serviço do rsyslog:
Distros RPM:
# chkconfig --add rsyslog
# chkconfig rsyslog on
#/etc/init.d/rsyslogd start
# rpm -Uvh http://epel.gtdinternet.com/6/x86_64/epel-release-6-8.noarch.rpm
Após adicionar seu repositório limpe o cache e atualize o repositório:
# yum clean all
# yum -y update
Instalar:
# yum -y install psacct snoopy rsyslog rsyslog-relp
Crie o arquivo de referencia para a lib da ferramenta:
# echo "/lib64/snoopy.so" > /etc/ld.so.preload
Criar o arquivo de log, vamos utilizar o /var/log/pacct:
# touch /var/log/pacct
Executar o comando abaixo para iniciar a contabilização dos processos:
# accton /var/log/pacct
Pronto !! Agora temos as ferramentas em funcionamento !
Configurando o rsyslog para enviar os logs para o servidor:
#### Modulos ####
$ModLoad imuxsock #Suporte para logs locais do sistema
$ModLoad imklog #Suporte para logs do kernel
$ModLoad immark #Suporte para marcação das mensagens
$ModLoad omrelp #Suporte para evitar perda de dados no envio das mensagens
# FORMATO PADRAO - TimeSTAMP
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
# PERMISSOES DO ARQUIVO DE LOG
$FileOwner root
$FileGroup adm
$FileCreateMode 0640
$DirCreateMode 0755
# REGRAS
auth,authpriv.* /var/log/auth.log
*.*;auth,authpriv.none -/var/log/syslog
daemon.* -/var/log/daemon.log
kern.* -/var/log/kern.log
lpr.* -/var/log/lpr.log
mail.* -/var/log/mail.log
user.* -/var/log/user.log
Adicionar "start" automático do serviço do rsyslog:
Distros RPM:
# chkconfig --add rsyslog
# chkconfig rsyslog on
#/etc/init.d/rsyslogd start
Comentários
Postar um comentário