লিনাক্সে একটি "ব্যক্তি" ক্রিয়াকলাপ লগ ইন করা

তাই আমি এর সাথে সম্পর্কিত অনেকগুলি পোস্ট পড়েছি এবং আগের চেয়ে আরও বিভ্রান্ত হয়ে এসেছি। Ttyrec, স্নোপি, অ্যাক্ট, রুটশ, সুডোশ, ttyrpld, ইউনিক্স অডিটিং এবং আরও অনেকগুলি সহ বিভিন্ন সরঞ্জামের জন্য সুপারিশ রয়েছে।

আমার ক্ষেত্রে, আমি কোনও সিস্টেমে কার্যকর করা সমস্ত কমান্ড লগ করতে সক্ষম হতে চাই (টাইমস্ট্যাম্প সহ সক্ষম ইতিহাসের মতো) তবে আমি কী জানতে পেরেছি? তবে, আমরা সকলেই ব্যবহারকারীর অ্যাকাউন্টগুলির একই ছোট উপসেটটিতে এসএসএসের মাধ্যমে লগ ইন করি (আমরা যা করছি তার উপর নির্ভর করে)। কোনও "কারা" আমাকে (সংযোগ সম্পর্কিত) আমাকে যে তথ্য দেবে সেগুলি সহ আমি কমান্ডের লগ পেতে পারি যাতে আমি কোনও জেনেরিক "ব্যবহারকারীর" জন্য উত্থাপিত হিসাবে কোনও নির্দিষ্ট ব্যক্তির ক্রিয়াটি সনাক্ত করতে পারি?

auditdপ্যাকেজ ব্যবহার এই জন্য ডিজাইন করা হয়েছে, আপনি প্রতিটি লগইন একটি সেশন আইডি দায়িত্ব অর্পণ করা পিএএম ব্যবহার করতে পারেন যাতে আপনি মূল লগইন করার জন্য একটি অ্যাকাউন্ট পিছনে কার্যকলাপ ট্র্যাক করতে পারেন (এবং তারপর লগইন লগ নির্ধারণ যেখানে যে ব্যক্তি থেকে লগ ইন করতে), এবং ausearchআপনার আগ্রহী ইভেন্টগুলি সনাক্ত করার কমান্ডটি You আপনি এখানে একটি বিস্তৃত বিস্তৃত গাইডটি পড়তে পারেন যদিও আপনার বিতরণটির সাথে মিলে যাওয়ার জন্য কিছু সূক্ষ্ম বিবরণ পরিবর্তন করতে হবে। রেহ্যাটের একটি এফএকিউ এবং এখানে কিছু অন্যান্য ডক্স সহ একটি সাইট রয়েছে ।

যেহেতু এটি শেলগুলিতে টাইপ করা কমান্ডগুলিতে লগ করার বা ব্যবহারকারীর কমান্ডের ইতিহাস রেকর্ড করার উপর নির্ভর করে না, তাই এটি vi খোলার মতো জিনিস (যা সম্ভবত এক্স বা এর মাধ্যমেও সম্পন্ন করা যেতে পারে screen), একটি স্ক্রিপ্ট লিখতে হবে (সম্ভবত একটি অক্ষরে একটিতে অক্ষর রয়েছে) vi এর কাট / পেস্ট কমান্ড এবং :.!/usr/games/fortuneকয়েকটি উত্স ডেটা পাওয়ার জন্য কয়েকটি রান নিয়ে সময় যা আপনি লগ করতে পারবেন না) তারপরে :%!/bin/bashকমান্ডটি চালাবেন।

ইতিমধ্যে আপনার নিষ্পত্তি করার জন্য বিভিন্ন সরঞ্জাম রয়েছে, যা আপনার প্রশ্ন (এবং এই উত্তরগুলি) যেমন ইতিহাস, স্নোপি, অডিট, সুডো লগ ইত্যাদির ইঙ্গিত দেয় ... তবে আপনার যদি "অ্যাকাউন্টগুলির উপসেট" থাকে তবে লোকেরা ব্যবহার করছে, আছে সার্ভারে কোন উপায় নেই যে কে কী করেছে তা বলার জন্য। একমাত্র উপায় আপনি নির্দিষ্ট করে বলতে পারেন যে এটি কারটি হয়েছিল যদি ব্যবহারকারীদের নিজস্ব কম্পিউটার থাকে যা তারা নির্দিষ্টভাবে ব্যবহার করেন এবং কী-লগারগুলি কী-ওয়ার্ডে কীভাবে টাইপ করছেন তা জানানোর জন্য এটি ব্যবহার করে।

যখনই আপনি অ্যাকাউন্টগুলি ভাগ করেন আপনি আসলে কী চলছে তা বলতে পারবেন না, যেহেতু আপনার আরও প্রমাণ প্রয়োজন যে কে আপনার মূল অ্যাকাউন্ট বা বব অ্যাকাউন্ট ব্যবহার করছে বা আপনার লোকেরা যা করছে তা। যদি আপনি কোনও নির্দিষ্ট ঘটনায় কী ঘটেছিল তা খতিয়ে দেখার চেষ্টা করছেন, আপনার নিজের অ্যাক্সেস নীতিগুলি এবং পদ্ধতিগুলি, আপনার পুনরুদ্ধার পদ্ধতিগুলি পর্যালোচনা করতে হবে এবং আপনার কর্মীদের মূল্যায়ন করতে হবে এবং / অথবা প্রয়োজনে পুনরায় প্রশিক্ষণে জড়িত থাকতে হবে (বা সংবেদনশীল অ্যাকাউন্টগুলির সাথে তাদের বিশ্বাসযোগ্যতা) বরং কে কিছু করেছে তা সরাসরি শিকার করার দিকে নজর না দেওয়ার চেয়ে এটি যে ব্যক্তি এটি করেছে তাকে খুঁজে পেতে আপনি যে পরিমাণ উত্সাহ অর্জন করতে পারেন তার চেয়ে আরও বেশি সংস্থান সন্ধান করতে পারে।

অন্যথায় আপনি কী ঘটেছে তা ট্র্যাক করার জন্য ফরেনসিক তদন্ত কৌশলগুলি সন্ধান করতে চাইতে পারেন (ড্রাইভ ইমেজিং, লগ ট্রেসিং ইত্যাদি) আপনি যদি কোনও ঘটনার তদন্ত না করে থাকেন তবে আপনার নীতিগুলি পর্যালোচনা করে আরও ভাল ট্র্যাকিং এবং অ্যাকাউন্ট যাচাইকরণ প্রতিষ্ঠা করুন (কেবল আপনার কাছে রয়েছে মূল, উচ্চ বেনিফিট অ্যাক্সেস পেতে, অডিট ইনস্টল করা ও নিরীক্ষণ করা ইত্যাদির জন্য শুধুমাত্র বব তার অ্যাকাউন্ট ব্যবহার করে এবং আপনার বিশ্বস্ত বৃত্তটি কোনও মাইক্রোস্কোপের আওতায় রাখা হয়েছে বা এমন লোকদের বিভ্রান্ত করতে পারে এমন মনে যাতে না হয় সে সম্পর্কে সতর্ক থাকুন তাদের কাজ পেতে (বা তাদের কাজ শেষ করতে বাধা)।

লিনাক্স অডিট করা ( http://people.redhat.com/sgrubb/audit/ ) আপনাকে কে কী করেছে তা দেখার সর্বাধিক শক্তি দেবে। ডারফকের উত্তরে আপনার এটি সম্পর্কে আরও রয়েছে।

ওয়েবডমিন অ্যাকাউন্টে অ্যাক্সেস রয়েছে এমন কোনও লোক যদি থাকে তবে আপনাকে ওয়েবডমিন হিসাবে লগ ইন করেছেন এমন কিছু আপনাকে বলবে না। আমি প্রতিটি ব্যবহারকারীর জন্য নামযুক্ত অ্যাকাউন্টগুলি ব্যবহার করার পরামর্শ দেব এবং তারপরে "ফাংশন" অ্যাকাউন্ট থেকে কমান্ড চালানোর জন্য su - বা sudo ব্যবহার করব।