Tutoriel 📝 Surveillance des modifications des clés de registre critiques (Linux)

[Sylvain*]

Surveillance des modifications de fichiers critiques sur Linux

Introduction

• Ce tutoriel détaille comment surveiller les modifications apportées à des fichiers ou répertoires critiques sous Linux.

• Il s'agit d'un aspect essentiel pour maintenir la sécurité et l'intégrité du système.

---

Prérequis

• Un système basé sur Linux (Debian, Ubuntu, CentOS, etc.).

• Accès root ou sudo.

• Familiarité avec les commandes de base et les scripts Bash.

---

Méthodologie

• Voici deux approches pour surveiller les fichiers ou répertoires critiques :

Méthode 1 : Utilisation de l’outil natif inotifywait.

Méthode 2 : Utilisation d’un script Bash avec inotify-tools.

---

Avantages des deux méthodes

• Méthode 1 : Simple, rapide à configurer et sans script complexe.

• Méthode 2 : Automatisable, plus flexible pour des surveillances avancées.

---

Inconvénients des deux méthodes

• Méthode 1 : Nécessite de lancer manuellement la commande à chaque démarrage.

• Méthode 2 : Plus complexe à configurer pour les débutants.

---

Étapes pour chaque méthode

Méthode 1 : Utilisation de l’outil inotifywait


Installez l’outil inotify-tools si ce n’est pas déjà fait :

sudo apt install inotify-tools

Lancez la commande suivante pour surveiller un fichier ou répertoire :

inotifywait -m /chemin/vers/le/repertoire

Remplacez /chemin/vers/le/repertoire par le chemin cible.

Observez les événements en temps réel, tels que CREATE, DELETE, ou MODIFY.

Méthode 2 : Utilisation d’un script Bash avec inotify-tools

Créez un script Bash pour automatiser la surveillance :

#!/bin/bash
MONITORED_DIR="/chemin/vers/le/repertoire"
inotifywait -m -r -e modify,create,delete --format '%w%f %e' "$MONITORED_DIR" | while read file event; do
echo "Événement détecté : $event sur le fichier : $file"
done

Enregistrez ce script dans un fichier, par exemple surveillance.sh.

Donnez les permissions d’exécution au script :

chmod +x surveillance.sh

Exécutez le script :

./surveillance.sh

Le script affichera les événements détectés en temps réel.

---

Astuce

• Utilisez l’option -r avec inotifywait pour surveiller un répertoire et tous ses sous-dossiers.

---

Mise en garde

• Ne surveillez pas de répertoires volumineux sans filtrer les événements, car cela peut surcharger le système.

---

Conseil

• Combinez inotifywait avec un journal de logs pour conserver un historique des modifications.

---

Solution alternative

• Utilisez auditd, un autre outil Linux permettant de surveiller les modifications de fichiers et répertoires avec des règles d’audit.

---

Références

Linux :

• Debian

• Ubuntu FR

---

Conclusion

• Vous avez appris à surveiller des fichiers critiques sous Linux en utilisant deux méthodes adaptées aux besoins.

• Cette surveillance contribue à protéger vos données et à sécuriser votre système.