Wer gerne weiss was auf seinem System abgeht, der wird ‘snoopy’ lieben. ‘snoopy’ logt jeden exec aufruf auf dem System, auf dem er installiert ist. Viel komplizierter – allerdings auch mit mehr Funktionen – geht das auch mit GrSecurity (grsec), das hatte ich vorher im Einsatz und bin deshalb überrascht, wie einfach das mit ‘snoopy’ geht.

Installiert wird ‘snoopy’ auf debian mit aptitude:

$ sudo aptitude install snoopy

so, und alle Prozesse die ab jetzt starten, werden ganz genau geloggt, und zwar nach /var/log/auth.log.

Wenn ein Benutzer auf dem System nun einen ‘ls’ macht, sieht das so aus:

Nov 12 17:19:45 server snoopy[14307]: [simon, uid:1000 sid:13821]: ls --color=auto

So, und wenn jetzt einer in Dein System einbricht, wird schön alles geloggt, was er macht. Nur, wenn der Einbrecher root werden kann, oder sonst einen Trick findet, kann er die Logs natürlich auch manipulieren, deshalb empfiehlt sich ein WriteOnly Logserver.

Viel Glück :)