Instalando / Configurando Logger Snoopy no Debian Squeeze 6x e Centos 6x

O que é Snoopy Logger e para o que serve?

Snoopy Logger é um aplicativo/ferramente de “segurança” bastante interessante, criado para gerar logs de todos os comandos executados em um sistema, seja por todos os usuários ou somente pelo root. Desenvolvido em linguagem C, o que o torna rápido o bastante e gera um peso irrisório ao seu SO, trabalha como um wrapper para chamadas do execve() e trabalha em conjunto com o syslod, mas também pode ser configurado para trabalhar com o syslog-ng.

Qual a utilidade dele para um Sysadmin?

Um sysadmin só não faz verão, correto!? Pois é… E como diz a velha máxima, “filho feio não tem pai”. O Snoopy vem para nos ajudar a encontrar os pais perdidos dessas crianças órfãs. Ele nos ajuda a encontrar o que foi feito no equipamento e que por ventura, algum “espertinho” apagou o history, na intenção de encobrir o que fez. Dessa forma, temos como verificar o histórico de todos os comandos executados no SO e assim conseguir traçar um caminho até onde pode estar o erro e, quem sabe, repará-lo ou não.

Instalação / Configuração do sistema em seu SO

– Debian Squeeze 6x:

Basta colocar o repositório do backports no sources.list.

~# echo "deb http://backports.debian.org/debian-backports squeeze-backports main" >> /etc/apt/sources.list
~# apt-get clean all
~# apt-get update
~# apt-get install snoopy

Em seguida irá aparecer uma tela perguntando se você quer instalar a lib de preload ou não. Se você instalá-la, o snoopy efetuará o log de todos os usuários do SO, caso escolha não só efetuará o log do root.

Caso deseje desabilitá-la comente a linha do arquivo ld.so.preload como demonstrado abaixo:

~# vim /etc/ld.so.preload
~#/lib/snoopy.so

Os logs, por padrão, são direcionados para /var/log/auth.log

Exemplo de entrada criada:

Mar 28 18:27:32 fw-01 snoopy[9522]: [uid:0 sid:9487 tty:/dev/pts/1 cwd:/root filename:/bin/ls]: ls /etc/bash_completion.d
Mar 28 18:27:32 fw-01 snoopy[9526]: [uid:0 sid:9487 tty:/dev/pts/1 cwd:/root filename:/usr/bin/mesg]: mesg n
Mar 28 18:27:52 fw-01 snoopy[9561]: [uid:0 sid:9487 tty:/dev/pts/1 cwd:/root filename:/bin/cat]: cat /etc/issue
Mar 28 18:28:17 fw-01 snoopy[9576]: [uid:0 sid:9487 tty:/dev/pts/1 cwd:/root filename:/bin/cat]: cat /etc/issue
Mar 28 18:38:17 fw-01 snoopy[9636]: [uid:1000 sid:9487 tty:/dev/pts/1 cwd:/home/admin filename:/usr/bin/clear_console]: /usr/bin/clear_console -q


– RedHat / Centos 6x:

Para efetuarmos a instalação no Centos 6x, temos que adicionar o repositório EPEL, que é oficial da RedHat.

~# rpm -Uvh http://dl.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm
~# yum install snoopy

Agora nesse momento, iremos adicionar o módulo “snoopy.so” ao arquivo de preload para que assim, o log seja efetuado não somente do usuário root, como para o restante dos usuários do equipamento também. Caso esse arquivo não exista ou a entrada dele que aponta para o módulo esteja comentado, os logs só serão gravados para o usuário root, como informado anteriormente.

~# rpm -qa | grep snoopy | xargs rpm -ql | grep snoopy.so >> /etc/ld.so.preload

Pulo do gato! Para não termos que efetuar o reboot do equipamento para que o módulo seja carregado, setamos a variável manualmente.

~# set LD_PRELOAD=/lib64/snoopy.so

É isso! E por hoje é só pessoal!

Dúvidas e sugestões é só falar!

Anúncios

2 Respostas para “Instalando / Configurando Logger Snoopy no Debian Squeeze 6x e Centos 6x

  1. Fala Mario,

    Maneiro o snoopy, eu uso ele nos servidores que tenho pra saber quem fez a merda e quando fez, tinha um artigo escrito sobre isso mas não publiquei.
    Você podia explicar a necessidade do snoopy e como um sysadmin pode usá-lo, escreva pra quem não sabe tanto quanto pra quem sabe que rende bons frutos.

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s