BASH to SYSLOG

Publié: 29 juin 2015 dans Haute disponibilite

D’un point de vue sécurité, on peut être amené à scruter les commandes exécutées par les techniciens informatiques. On ne voit pas ici une sorte de BIG BROTHER, mais il peut arriver qu’un changement entraine des dysfonctionnements.

Dans ce cas, savoir qui a envoyé quelle commande et quand s’avère une source cruciale d’information.

La mise en œuvre est très simple.

1. Modification de /etc/bashrc

echo « export HISTTIMEFORMAT=’%F %T  »>>/etc/bashrc
echo « export PROMPT_COMMAND=’RETRN_VAL=\$?;logger -p local6.info \ »<LE TAG> : \$(whoami) [\$\
$]: \$(history 1 | sed \ »s/^[ ]*[0-9]\+[ ]*//\ » ) [\$RETRN_VAL]\ »‘ « >>/etc/bashrc

On ajoute un TAG <LE TAG> qui nous permettra de rediriger ces évènements vers un fichier SYSLOG particulier.

2. Modification dy fichier /etc/syslog-ng.conf

Notre serveur SYSLOG : monsyslog

sed -i ‘/# Redirection vers server de log/ d’ /etc/syslog.conf
sed -i ‘/\*.\*/ d’ /etc/syslog.conf
echo « #Log des commandes shell »>>/etc/syslog.conf
echo « local6.* @monsyslog »>>/etc/syslog.conf
echo «  »>>/etc/syslog.conf
echo « # Redirection vers server de log »>>/etc/syslog.conf
echo « *.* @monsyslog »>>/etc/syslog.conf

Et on redémarre le service SYSLOG

/etc/init.d/syslog restart

Publicités

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s