Nouvelle sonde Prelude : Auditd
Steve Grubb de la société Red Hat a écrit le plugin Prelude pour Auditd, un serveur SELinux qui journalise les violations de politique de sécurité.
Le plugin détecte en temps réel : des applications se terminant anormalement (gcc débordement de pile/glibc FORTIFY_SOURCE/erreur de segmentation), SELinux AVCs, logins, nombre maximum de tentatives de login atteint.
Le logiciel, ainsi que sa documentation sont disponibles à cette adresse :
http://people.redhat.com/sgrubb/audit/
Si vous utilisez fedora core 8, vous pouvez l'essayer facilement en lançant :
yum --enablerepo=updates-testing install audispd-plugins
Pour le tester sous Fedora rawhide (qui deviendra Fedora 9), vous devrez mettre SELinux en mode permissif en utilisant la commande "setenforce 0".
En savoir plus : auditd+prelude HOWTO.