101 lines
2.1 KiB
Markdown
101 lines
2.1 KiB
Markdown
# Audit SUID GUID Linux
|
|
|
|
## Version Shell
|
|
### Installation
|
|
|
|
Copier audit-suid.sh
|
|
|
|
Exemple:
|
|
```
|
|
cp audit-suid.sh /usr/local/bin/audit-suid.sh
|
|
chmod +x /usr/local/bin/audit-suid.sh
|
|
```
|
|
### Exécution
|
|
```
|
|
# Exécuter avec les droits root
|
|
sudo /usr/local/bin/audit-suid.sh
|
|
```
|
|
|
|
### Planification avec cron
|
|
```
|
|
# Audit quotidien à 2h du matin
|
|
sudo crontab -e
|
|
# Ajouter la ligne :
|
|
0 2 * * * /usr/local/bin/audit-suid.sh
|
|
```
|
|
|
|
### Personalisation
|
|
|
|
Modifier le fichier ```/etc/audit/suid_whitelist.conf``` pour ajouter vos propres binaires légitimes.
|
|
|
|
Ce script vous aidera à maintenir la sécurité de vos serveurs Linux en identifiant rapidement les risques potentiels liés aux permissions SUID/SGID.
|
|
|
|
## Version Python
|
|
### Installation
|
|
|
|
Copier ```audit-suid.py```
|
|
|
|
Exemple:
|
|
|
|
```
|
|
# Sauvegarde du script
|
|
sudo mkdir -p /usr/local/bin/
|
|
sudo cp suid_audit.py /usr/local/bin/audit-suid.py
|
|
sudo chmod +x /usr/local/bin/audit-suid.py
|
|
# Création des répertoires
|
|
sudo mkdir -p /etc/audit /var/log/audit
|
|
```
|
|
|
|
### Utilisation
|
|
```
|
|
# Exécution simple
|
|
sudo python3 audit-suid.py
|
|
|
|
# Avec options
|
|
sudo python3 audit-suid.py --max-depth 15 --no-temp
|
|
|
|
# Aide
|
|
python3 audit-suid.py --help
|
|
|
|
# Exécution avec droits root (obligatoire)
|
|
sudo /usr/local/bin/audit-suid.py
|
|
```
|
|
|
|
### Options disponibles
|
|
Option Description
|
|
|
|
- **--no-temp**: Ne pas vérifier /tmp, /var/tmp, /dev/shm
|
|
- **--no-orphan**: Ne pas vérifier les fichiers orphelins
|
|
- **--no-hash**: Ne pas calculer les hashs MD5 (plus rapide)
|
|
- **--max-depth N**: Profondeur maximale de recherche (défaut: 20)
|
|
- **--log-dir PATH**: Répertoire des logs (défaut: /var/log/audit)
|
|
- **--whitelist PATH**: Fichier JSON de whitelist
|
|
|
|
### Cron
|
|
```
|
|
# Éditer crontab
|
|
sudo crontab -e
|
|
|
|
# Ajouter pour une exécution quotidienne à 2h
|
|
0 2 * * * /usr/local/bin/audit-suid.py --no-hash
|
|
|
|
# Exécution hebdomadaire avec tous les contrôles
|
|
0 3 * * 0 /usr/local/bin/audit-suid.py
|
|
```
|
|
### Format du fichier de whitelist (JSON)
|
|
|
|
```json
|
|
{
|
|
"SUID": [
|
|
"/bin/su",
|
|
"/usr/bin/sudo",
|
|
"/usr/bin/passwd"
|
|
],
|
|
"SGID": [
|
|
"/usr/bin/wall",
|
|
"/usr/bin/write"
|
|
]
|
|
}
|
|
```
|
|
|