Surveillance des fichiers logs : Logwatch

Une première étape peut-être d’installer un logiciel qui va vérifier régulièrement vous envoyer un récapitulatif des différents fichiers logs contenus sur votre serveur afin de mieux cerner l’activité journalière de votre serveur. Dans ce domaine, j’aurais tendance à conseiller Logwatch. Il s’agit d’un analyseur de logs systèmes pour Unix qui vous enverra un mail chaque jour en vous précisant les différentes connexion ssh, ftp (qu’elles soient réussies que échouées). Cet utilitaire est d’autant plus intéressant qu’il est entièrement personnalisable.

L’installation est très simple. Sous Ubuntu :

>> apt-get install logwatch

La configuration est d’ailleurs tout aussi simple puisqu’il vous suffira de configurer les quelques paramètres dans le fichier se trouvant :

>> /usr/share/logwatch/default.conf

Et d’y repérer le fichier configuration nommé logwatch.conf. Dans ce fichier, pas grand chose à modifier pour que cela fonctionne :

# The default detail level for the report.
Detail = Med
#Default email to send the report
MailTo = you@yourdomain.net

Evidemment, ce ne sont que des choix personnels. N’hésitez pas à modifier ces lignes en fonction de vos besoins.

Monitoring de votre serveur – Surveillance charge

Pour ce faire, je ne vous conseillerais que Monit. En réalité, c’est le seul que je connais : je le trouve à la fois simple à configurer et fonctionnel.

>> apt-get install monit
>> nano /etc/default/monit

Modifiez l’option startup=1 (retirez le #).

Editons ensuite le fichier configuration :

>> nano /etc/monit/monitrc

Vous trouverez ici un fichier configuration exemple. Téléchargez le et modifiez le à votre guise en fonction de la configuration de votre serveur : exemple_configuration_monit. Pensez notamment à modifier la partie login/password pour vous connecter à l’interface web et pensez également à vérifiez le fonctionnement des ports des différents services en fonction de votre configuration. En effet, d’une machine à l’autre le port MySQL ou SSH ne sont pas les mêmes…

Vous pouvez rajouter tous les services que vous souhaitez surveiller. La syntaxe est assez abordable pour pouvoir être modifiée facilement. Il vous est également possible de faire vérifier la syntaxe de votre fichier configuration par Monit ; pour ce faire utilisez la commande suivante :

>> sudo /etc/init.d/monit syntax

Et, s’il vous dit que c’est correct. Vous pouvez ensuite lancer Monit :

>> sudo /etc/init.d/monit start

* Utilisez la commande monit -v pour vérifier l’état de Monit à tout moment.

Avec une configuration similaire à celle ci-dessus vous pouvez ensuite vous connecter à l’adresse suivante : http://domaine:8080. Vous devrez vous identifier avec le login/mdp que vous avez déclaré dans le fichier configuration. Au final, vous devriez voir un fenêtre semblable à celle-ci (volontairement pas la mienne) :

Connexions SSH & Envoi d’emails…

C’est votre serveur ? Mais d’autres potes ont l’habitude de s’y connecter pour partager leurs fichiers, s’occuper de leurs blogs etc… ?

Vous avez également la possibilité d’être prévenu par email dès qu’une connexion SSH à votre serveur a réussie. Cela peut-être intéressant de pouvoir suivre ces connexions sans avoir à décrypter les fichiers logs chaque jour. De plus, l’avantage de cette méthode et de pouvoir être prévenu en temps réel. Ainsi, si vous voyez par exemple l’un de vos potes se connecter de Taiwan (ou autre) alors qu’il habite dans la même rue que vous… Vous pouvez vous poser des questions sur la complexité de son MDP…

Pour ce faire, il vous suffit de créer un nouveau fichier appelé sshrc dans le dossier /etc/ssh/.

Dans ce fichier, collez-y ceci :

DATE=`date "+%d.%m.%Y--%Hh%Mm"`
IP=`echo $SSH_CONNECTION | awk '{print $1}'`
REVERSE=`dig -x $IP +short`

echo "User connected - User : $USER - IP: $IP - REVERSE: $REVERSE - Date: $DATE"
sendEmail -f root@votredomaine.net -t vous@votredomaine.net -u "User connecte sur $HOSTNAME" -m "Connexion sur Serveur de IP: $IP - Date: $DATE - User : $USER"

Vous serez alors averti par email à chaque connexion SSH !

Notez quand même que si vous avez beaucoup d’utilisateurs différents et des connexion régulières : il vous faudra ajouter une règle de filtrage dans votre client mail.

Si vous avez des questions, n’hésitez pas! :16:

• Une Clé SSH sous Windows avec PuTTY
• Serveur d’impression TRENDnet – TE100MP1UN
• La stéganographie ou comment échanger en toute sécurité ?

De plus, la plupart des logiciels de stéganographie crypte dans un premier temps le « message secret » puis ensuite cache ce « message secret encodé » au sein d’autre chose de plus basique de sorte que l’on ne puisse pas soupçonner la présence du dit « secret ». De cette manière, une personne non-autorisée ne tentera même pas de décrypter ce message si elle ne sait pas au préalable qu’il y a un message secret. Le cas le plus répandu étant de cacher un texte au sein d’une image. Face à l’image on ne serait soupçonné la présence d’un secret au sein même des bits de cette image.

LOEWENGUTH Pascal – http://lwh.free.fr

Exemple avec un clou contenant un message (possibilité de crypter en plus le message) lui-même par exemple planté dans une planche en bois ou n’importe quoi d’autre.

Autre exemple à essayer chez soi. Utiliser une encre invisible pour écrire sur une feuille de papier. Utilisez du jus de citron. Une fois l’encre sèche, le message apparaît invisible sur cette feuille blanche. Passez une flamme sous le papier et le message apparaît. Toujours dans le même ton, on peut également utiliser une partition de musique et faire correspondre aux notes de musiques et autres signes des mots ou des caractères spéciaux etc.

Les logiciels de stéganographie camouflent des messages (une phrase, texte ou un fichier ne sont rien de plus qu’une suite de bits) parmi les bits d’un autre fichier tels qu’une image, un son ou bien encore une vidéo. De manière générale, l’image graphique (ou son, film…) ne changera pas de manière notable. En effet, changer quelques bits ne modifient que très légèrement l’image ce qui demeure imperceptible à l’œil nu. Le destinataire du message secret peut alors récupérer ce message avec un logiciel approprié.

La stéganographie est également à l’origine du watermarking. Le watermarking est en faite une sorte de « tatouage numérique ». On peut différencier deux sortes de watermarking : visible ou invisible. Cette technique de marquage consiste à insérer une signature invisible (ou non) permanente à l’intérieur d’images, de films ou dans n’importe quel autre média. Cette technique est notamment en voie de déploiement dans l’industrie du film afin de lutter contre la fraude ou le piratage.

Imaginez un film qui vient de sortir récemment en salles. Dans chaque image est inséré un code d’identification imperceptible et indétectable par tout système ignorant son mode d’insertion. Il permet notamment de garantir la preuve de paternité d’une œuvre numérique. Il dissuade également les pirates dans la mesure où cette « signature » peut être retrouvée dans chaque copie de l’image originellement marquée. Imaginez sur eMule : « Film-Super-Bien.DVDRIP-parXXX ». Une fois cette vidéo repassée dans un logiciel pour vérifier la présence d’un watermarking on peut contrôler et savoir d’où la fuite a pu venir (par exemple un projectionniste peu scrupuleux qui aurait mis en ligne le film).

Un watermarking visible peut être apparenté à un simple filigrane. Il s’agit d’un signe, une lettre ou un mot qui sont imprimés au sein d’un média (papier, image, son vidéo…). Ce dessin souvent visible à l’œil nu est également une mesure de sécurité pour éviter les contrefaçons (ou tout du moins dissuader) et protéger les documents. Exemple d’une image avec filigrane :

Pour en revenir à la stéganographie pure, il s’agit donc d’insérer des informations secrètes ou non dans une autre média. Si ces informations sont secrètes, elles sont alors mises à l’abri et cacher dans un autre média. Mais cette pratique peut également être détournée pour s’assurée de la sécurité de certains médias et éviter ainsi le piratage.

• Toi aussi tu veux ton blog ?
• Thirteen
• The Beach