Systemtap est un logiciel d'instrumentation noyau. Ce type de logiciel a pour objectif de superviser les actions effectuées par le noyau (on parle aussi d'audit). Les applications sont nombreuses. En particulier, il rend possible le debuggage de programmes en regardant avec précision au niveau noyau les actions réalisées (appels système invoqués, ressources utilisées, descripteurs manipulés, etc.).Systemtap, son langage de script et les fonctions spécifiques du noyau sont développés en particulier par IBM et RedHat.
Dans un contexte plus sécurité, ce type de fonctionnalité sert à créer des profils d'utilisation du système. Ainsi, on définit un profil « normal » d'utilisateur et on calcule la déviation par rapport à ces valeurs. Les travaux de Forrest [1] repris plus récemment par Dacier, Debar et Wespi [2] vont dans ce sens. Cependant, pour effectuer ce genre de choses, il faut pouvoir filtrer les événements remontés au niveau du dispositif d'audit, sinon on risque d'être noyé sous l'information.
1. Un brin d'état de l'art
1.1 Les logiciels d'instrumentation Open Source
Systemtap n'est ni le premier ni le seul logiciel à proposer ces fonctions. Sous Linux, on dispose de strace pour auditer les appels système effectués par un processus en temps réel avec des possibilités rudimentaires de filtrage (uniquement sur le nom de l'appel système). L'avantage de strace est qu'il ne nécessite pas de recompilation ou de patch de son noyau. On a aussi LTT (Linux Trace...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première