Kök girişi devre dışı bırakıldığında (SSH) ancak kullanıcılar çalışabilir sudo -iveya su -kök haline gelebiliyorsa , günlüklerde kimlerin kök olarak hareket ettiğini izlemek için tercih edilen yöntem nedir ? Her komutu orijinal kullanıcı adıyla da takip etmek istiyorum. RHEL 6 veya herhangi bir Linux rsyslog vb.
Yanıtlar:
En sağlam yöntemler denetlenmektedir:
http://blog.ptsecurity.com/2010/11/requirement-10-track-and-monitor-all.html
Auditd temel olarak tüm sistem çağrılarını durdurur ve bunları kural setinize göre kontrol eder. Yani /etc/audit/audit.rulesdosyanızda aşağıdaki gibi bir şey olurdu:
# This file contains the auditctl rules that are loaded
# whenever the audit daemon is started via the initscripts.
# The rules are simply the parameters that would be passed
# to auditctl.
# First rule - delete all
-D
# Increase the buffers to survive stress events.
# Make this bigger for busy systems
-b 320
# Feel free to add below this line. See auditctl man page
-a always,exit -F euid=0 -F perm=wxa -k ROOT_ACTION
Son kural varsayılan olmayan tek kuraldır.
Bu yaklaşımın ana dezavantajı (ve alternatifleri ararken bu soruyu bulmamın nedeni) ham günlük dosyalarının oldukça şifreli olması ve yalnızca ham günlük dosyasında sorgulama programını çalıştırdıktan sonra yardımcı olmasıdır: ausearch
Bu kural için örnek bir sorgu şöyledir:
ausearch -ts today -k ROOT_ACTION -f audit_me | aureport -i -f
Sağduyulu bir çözüm muhtemelen ham denetim günlüklerinizi sorgulayacak ve daha sonra bunları günlük çözümünüze gönderecek bir cron oluşturmak olacaktır.
Red Hat dağıtımlarında, genellikle /var/log/securekimin oturum açtığını veya sudobir Fedora / CentOS / RHEL sisteminde kimin oturum açtığını belirlemek için günlüğü kullanırsınız .
$ sudo -Es
günlük sonucu:
su örneği1 Eyl 19:32:51 greeneggs sudo: saml: TTY = puan / 2; PWD = / ev / saml; KULLANICI = kök; KOMUTANLIĞI = / bin / bash
$ su -
günlük sonucu:
Eyl 1 19:34:49 greeneggs su: pam_unix (su-l: oturum): saml tarafından kullanıcı kökü için oturum açıldı (uid = 1000)
İşbirliği yapan kullanıcılarınız varsa, rootsh türünü syslog'a yazdığı her şeyi günlüğe kaydetmek için rootsh ayarlarını yapabilirsiniz.
http://linux.die.net/man/1/rootsh
rootsh rpms EPEL'de mevcuttur.
RHEL6'daki sudo sürümü ayrıca stdout'u her sudo oturumu için bir dosyaya kaydedebilir. Sudo_plugins man sayfasına bakın.
Bu yaklaşımların hiçbiri tamamen kurşun geçirmez değildir.