কীভাবে সুপারজারের ক্রিয়াকলাপগুলি ট্র্যাক করবেন

21

আমি লিনাক্স পরিবেশে সুপারভাইজার ক্রিয়াকলাপ ট্র্যাকিংয়ের জন্য সর্বোত্তম পন্থা কোনটি জানতে চাই।

বিশেষত, আমি এই বৈশিষ্ট্যগুলি খুঁজছি:

  • ক) সুরক্ষিত সিসলগ সার্ভারে লগিং কীস্ট্রোক
  • খ) শেল সেশনগুলি পুনরায় প্লে করার ক্ষমতা (স্ক্রিপ্টপ্লে এর মতো কিছু)
  • গ) আদর্শভাবে, সার্ভারে শারীরিক অ্যাক্সেস না করেই এটিকে অসম্ভব কিছু (বা বেশ কঠিন) হওয়া উচিত।

সুরক্ষা / অডিটিং দৃষ্টিকোণ থেকে এটি সম্পর্কে চিন্তা করুন, এমন পরিবেশে যেখানে বিভিন্ন সিস্টেমিনকে (বা তৃতীয় পক্ষগুলিও) কোনও সার্ভারে সুবিধাপ্রাপ্ত অপারেশন করার অনুমতি দেওয়া দরকার।

প্রত্যেক প্রশাসকের নিজস্ব নামমাত্র অ্যাকাউন্ট থাকবে এবং প্রতিটি ইন্টারেক্টিভ সেশনটি সম্পূর্ণরূপে লগ হওয়া উচিত, প্রয়োজনে এটি পুনরায় চালনার সম্ভাবনা সহ (উদাহরণস্বরূপ, কেউ যদি সমালোচনামূলক ফাইলগুলি মুছতে বা পরিবর্তন করতে এমসি ব্যবহার করে থাকে তবে এটি যথেষ্ট হবে না) জেনে রাখুন যে ব্যক্তি এমসি কমান্ড জারি করেছিলেন; এমসি চালু করার পরে ঠিক কী হয়েছিল তা দেখার একটি উপায় অবশ্যই থাকতে হবে)।

অতিরিক্ত নোট :

  1. ওম্বল যেমন উল্লেখ করেছে, সার্ভারে পরিবর্তনগুলি সম্পাদনের জন্য লোকেরা রুট সুবিধার সাথে লগইন না করাই সর্বোত্তম বিকল্প হতে পারে, তবে এটি কনফিগারেশন ম্যানেজমেন্ট সিস্টেমের পরিবর্তে করতে হবে। সুতরাং আসুন আমরা এমন একটি পরিস্থিতি ধরে নিই যেখানে আমাদের এমন সিস্টেম নেই এবং আমাদের একই সার্ভারের মাধ্যমে বিভিন্ন ব্যক্তির কাছে রুট স্তরের অ্যাক্সেস প্রদান করতে হবে
  2. আমি আত্মসমর্পণে এগুলি করতে মোটেও আগ্রহী নই: মূল অধিকারগুলির সাথে সার্ভারে লগ ইন করা প্রতিটি ব্যক্তি পুরোপুরি সচেতন হবে যে অধিবেশনটি রেকর্ড করা হবে (উদাহরণস্বরূপ, কল সেন্টার অপারেটররা জানেন যে তাদের কথোপকথনগুলি রেকর্ড করা হচ্ছে)
  3. কেউ জেনেরিক সুপারজার অ্যাকাউন্ট ("মূল") ব্যবহার করবে না
  4. আমি ttyrpld সম্পর্কে অবগত এবং এটি আমি যা খুঁজছি তা করা মনে হচ্ছে। তবে সে পথে যাওয়ার আগে, আমি জানতে চাই যে এটি কোনও অশোধিত কার্নেল ব্যবহার করে সমাধান করা যায় কিনা। আমি জানতে চাই বিশেষত ডেবিয়ান (বা সাধারণভাবে লিনাক্স) এর জন্য এমন কোনও সরঞ্জাম রয়েছে যা শেল বা কার্নেলটি প্যাচ না করে সুপার-অ্যাকাউন্ট অ্যাকাউন্টের সম্পূর্ণ নিরীক্ষণের অনুমতি দেয়।
linux  security  audit 
mfriedman
সূত্র
2
(চেয়ার এবং পপকর্ন ধরে) এটি ভাল হওয়া উচিত ...
অ্যাভেরি পেইন
+1 ... ঠিক একই জিনিসটি ভাবছিল। উচ্চহাস্য
KPWINC
এই সম্পর্কিত প্রশ্নটিও নোট করুন: সার্ভারসফল্ট
স্লেসকে
আমি এখনও মনে করি আপনার একটি কনফিগারেশন ম্যানেজমেন্ট সিস্টেম ব্যবহার করা উচিত। (পুতুল / সিফেনজিন / শেফ / সিস্টেমিমেজার / শেফ / ইত্যাদি ...)
কেভিনআর
কেভিন, আমি আপনার সাথে একমত উদাহরণস্বরূপ ওম্বলের জবাব সম্পর্কে আমার মন্তব্য দেখুন: সার্ভারফল্ট / প্রশ্ন / 50710/… । দুর্ভাগ্যক্রমে, এটি এই পরিবেশের কোনও বিকল্প নয় এবং সে কারণেই আমি এমন একটি পরিস্থিতি ধরে নিতে বলেছিলাম যেখানে একটি কনফিগারেশন পরিচালন ব্যবস্থা উপলব্ধ নয়। যাইহোক, আমি এই বিষয়ে আপনার মতামতের জন্য আপনাকে ধন্যবাদ জানাতে চাই।
এমফ্রিডম্যান

উত্তর:

8

একাধিক প্রশাসকের পরিবেশের জন্য কেবল রুট ব্যবহার করবেন না - যদি সম্ভব হয় তবে।

সব কিছুর জন্য সুডো ব্যবহার করুন - সুডো অত্যন্ত কনফিগারযোগ্য এবং সহজেই লগযোগ্য।

কোনও আপনার সমস্ত প্রতিষ্ঠিত বিধি ঘুরে বেড়াচ্ছে এমনভাবে যে কোনও / সমস্ত লগইন বা su এর মূল এবং তদন্ত করতে লগ ইন করুন।

DisabledLeopard
সূত্র
3
হ্যাঁ, উবুন্টু এর মহান লগিং পেয়েছিলাম - সব ঐ এন্ট্রি "womble দৌড়ে / বিন / রুট হিসাবে SH" বাস্তব সহায়ক। কনফিগারেশন পরিচালনা ব্যতীত লোকেরা সর্বদা অ্যাডমিনের কাজগুলি করার জন্য মূল হয়ে উঠবে, এবং যে কেউ নেফেরিয়াস কিছু করতে চেয়েছিল তারা বৈধ কার্য সম্পাদনের মতো একই রুট সেশনে তাদের কাজটি করতে পারে। নিখুঁত কভার।
দোলা
এটিকে অবশ্যই কোনও ভাল হতে পারে তার জন্য মূল হিসাবে
গোলাগুলি চালানোকে নিরুৎসাহিত
2
নীতি: "sudo / bin / sh" = বরখাস্ত / তদন্ত খুব পরিষ্কার, বেশ সহজ সমাধান।
কার্ল কাটজ্কে 0
5
প্রোগ্রামগুলি থেকে শেল নেওয়ার অনেকগুলি উপায় রয়েছে যা লোকেরা আইনতভাবে চালানোর প্রয়োজন হবে (যেমন সুডো ভি থেকে) যে কেবল 'সুডো / বিন / শ''কে ব্লক করার সামান্য বিষয় আছে less তবে আপনি নিশ্চিত হতে পারবেন না যে আপনি নিশ্চিত হতে পারেন যে আপনি প্রতিটি সম্ভাব্য পদ্ধতি অবরুদ্ধ, আপনি কেবল আরও অস্পষ্ট উপায় খুঁজতে একটি চ্যালেঞ্জ জারি করবেন be যাই হোক না কেন: ক) কখনও কখনও সুডো / বিন / শ প্রয়োজনীয় হয় এবং খ) এটি কোনও ম্যানেজমেন্ট সমস্যা, কারিগরি নয়।
কাস
ক্রিস একটি দুর্দান্ত পয়েন্ট করেছেন: ম্যানেজমেন্ট সমস্যা, কারিগরি সমস্যা নয়।
কার্ল কাটজ্কে :17
2

একটির জন্য আপনি কোন ধরণের রুট ব্যবহারকারীর অ্যাক্সেসের জন্য নজর রাখছেন? বোকা অ্যাডমিন ভুল বা দূষিত অভ্যন্তরীণ? পূর্ববর্তী - আপনি ইতিমধ্যে প্রস্তাবিত হিসাবে একটি ভাল কনফিগারেশন পরিচালনার সমাধান চাইবেন। আধুনিক - যদি তারা জানে যে তারা কী করছে তবে আপনি কেবল তদন্তের উপযুক্ত কিছু চিহ্নিত করার জন্য পর্যাপ্ত পরিমাণে ধরা আশা করতে পারেন। আপনি কেবল এটিই জানতে চান যে অননুমোদিত ক্রিয়াকলাপের কিছু ফর্ম শুরু হয়েছিল, এবং সেই বিষয়ে সতর্ক হন। যদি তারা স্মার্ট হয় তবে তারা আপনার তৈরি করা বেশিরভাগ লগইনটি অক্ষম করবে (সার্ভারের স্থিতি পরিবর্তন করে বা তাদের নিজস্ব সরঞ্জাম আনার মাধ্যমে) তবে আশা করি আপনি ঘটনার সূচনাটি ধরতে পারবেন।

বলা হচ্ছে, আমি আপনাকে বেশ কয়েকটি সরঞ্জাম ব্যবহার করতে পারি। প্রথমে একটি ভাল সুডো নীতি (যা ইতিমধ্যে প্রস্তাবিত হয়েছে) দিয়ে শুরু করুন। দ্বিতীয়ত, আপনার যদি সেই প্রশাসকদের রুট শেল অ্যাক্সেস দেওয়ার দরকার হয় তবে সুডোশেলটি পরীক্ষা করে দেখুন। তৃতীয়ত, সম্ভবত আপনার সেরা বেট (যদিও সবচেয়ে নিবিড়), লিনাক্স কার্নেল অডিটিংয়ের দিকে নজর দিন।

romandas
সূত্র
+1 সুডোশেল পরামর্শ দেওয়ার জন্য এবং বিশেষত লিনাক্স কার্নেলের অডিট সিস্টেমকে metioning করার জন্য আপনাকে ধন্যবাদ - যা আমি অর্জন করার চেষ্টা করছি তার জন্য এটি একটি দুর্দান্ত পরিপূরক হতে পারে।
এমফ্রিডম্যান
2

আপনি যা করতে পারেন তা হল এই লাইব্রেরিটি সুডোর জন্য ব্যবহার করা, প্রত্যেককে তাদের নিজস্ব ব্যবহারকার্যকাউন্ট দিন এবং প্রত্যেকের প্রোফাইলে সুডো-আই যুক্ত করুন। এইভাবে তাদের তাত্ক্ষণিক রুট অ্যাক্সেস রয়েছে এবং তারা যে প্রতিটি কমান্ড ব্যবহার করে তা লগ করা হচ্ছে।

blauwblaatje
সূত্র
+1 আমি সেই লাইব্রেরি সম্পর্কে জানতাম না। ভাগ করার জন্য আপনাকে ধন্যবাদ!
mfriedman
1

তারা মূল পেয়েছে। আপনি যেটির জন্য সবচেয়ে ভাল আশা করতে পারেন তা হ'ল তারা যখন আপনার সামান্য পর্যবেক্ষণের ইউটোপিয়াটি ভেঙে ফেলার সিদ্ধান্ত নিয়েছে, তবে তার বাইরে তারা যা করেছে তা কারও অনুমান।

আমি যে "সেরা" বিকল্পের কথা ভাবতে পারি তা হ'ল প্রশস্ত কনফিগারেশন অটোমেশন এবং পরিচালনা ব্যবহারের আদেশ দেওয়া, এবং একটি পুনর্বিবেচনা নিয়ন্ত্রণ ব্যবস্থা ব্যবহার করে আপনার প্রকাশগুলি পরিচালনা করা এবং এর মাধ্যমে আপডেটগুলি স্থাপন করা। তারপরে সার্ভারগুলিতে আসল রুট লগইনগুলি প্রতিরোধ করুন। (জরুরী "ওহ নয়েস আমি কিছু ভেঙে দিয়েছি") প্রতিটি ব্যবহারের পাসওয়ার্ড বা এসএসএইচ-এর দ্বারা বিতরণ-না-করা-পরিবর্তিত -র পরে অ্যাক্সেস সরবরাহ করা যেতে পারে, এবং প্রত্যেকে যে সায়সাদমিনকে দেখতে পেয়েছিল তারা নিশ্চিত না যে তা নিশ্চিত করার জন্য কিছু পরিবর্তন করুন)।

হ্যাঁ, এটি অসুবিধাজনক এবং বিরক্তিকর হতে চলেছে, তবে আপনি যদি এই ডিগ্রীটিতে প্রত্যেকের ক্রিয়াকলাপ পর্যবেক্ষণ করতে চান এমন যথেষ্ট বিড়ম্বনা থেকে থাকেন তবে আমি অনুমান করছি যে আপনি এমন একটি পরিবেশে রয়েছেন যা অসুবিধাগ্রস্থ এবং অন্যভাবে যেভাবে এটি জিতেছে তা যথেষ্ট বিরক্তিকর in বড় সমস্যা মনে হচ্ছে না।

বোকা
সূত্র
আমি তোমার সাথে একমত. সর্বোত্তম বিকল্পটি হ'ল সার্ভারগুলিতে পরিবর্তনগুলি সম্পাদনের জন্য রুট সুবিধাগুলিতে লোকেরা লগইন না করা, বরং এটি কনফিগারেশন ম্যানেজমেন্ট সিস্টেমের মাধ্যমে করা। আমি আমার মন্তব্যগুলিকে পরিমার্জন ও পরিষ্কার করার জন্য সহায়ক বলে মনে করি।
mfriedman
1

অন্যদের সেখানে প্রায় কাছাকাছি একটি উপায় তারা অক্ষম করা যাবে না পূর্ণ রুট ব্যবহারের অনুমতিপ্রাপ্ত ব্যবহারকারীরা লগ ইন করার কোন উপায়, কিন্তু আপনি ডেবিয়ান চালাচ্ছেন যদি / Ubuntu কটাক্ষপাত করা বলেছি snoopy , যা আপনি যা চান তা বেশ আসে পাসে

স্নোপি হ'ল একটি শেয়ার্ড লাইব্রেরি যা libc দ্বারা প্রদত্ত সম্পাদন () ফাংশনটিতে র‌্যাপার হিসাবে ব্যবহৃত হয় প্রতিটি কলকে syslog (authpriv) এ লগ করতে। সিস্টেম অ্যাডমিনিস্ট্রেটররা হালকা / ভারী সিস্টেম মনিটরিং, অন্যান্য প্রশাসকের ক্রিয়াকলাপ ট্র্যাকিংয়ের পাশাপাশি সিস্টেমে কী চলছে সে সম্পর্কে একটি ভাল 'অনুভূতি' অর্জনের জন্য উদাহরণগুলিতে স্নোপিকে দরকারী বলে মনে করতে পারে (উদাহরণস্বরূপ অ্যাপাচি সিজি স্ক্রিপ্ট চালানো)।

theotherreceive
সূত্র
উত্তর দেওয়ার জন্য আপনাকে ধন্যবাদ। এটি কীস্ট্রোক লগিং সমর্থন করে বা কেবল কমান্ড লগিংকে সমর্থন করে?
mfriedman
0

আমি সমস্ত কিছুর জন্য sudo ব্যবহার সম্পর্কে অক্ষম ব্যক্তির মন্তব্যের সাথে একমত। এটি অবশ্যই লগগুলিকে কিছুটা সহজ করে তোলে।

আমি পর্যায়ক্রমে ব্যাশ ইতিহাস ফাইলটির ব্যাক আপ যোগ করব। আপাতদৃষ্টিতে প্রায়শই উপেক্ষা করা হয় তবে কখনও কখনও তথ্যের দুর্দান্ত উত্স হতে পারে ... কেবল গোল্ডম্যান শ্যাচকে জিজ্ঞাসা করুন। ;-)

http://www.guardian.co.uk/business/2009/jul/12/goldman-sachs-sergey-aleynikov

KPWINC
সূত্র
2
আমার কাছে .bash_logout স্ক্রিপ্ট রয়েছে যা ইতিহাসের একটি সময়-স্ট্যাম্পড অনুলিপি /var/lib/history/$user.$ত্তি-or-IP.$yymmddhss এ তৈরি করে যদি আমি আরও যত্নবান হন তবে আমি প্রক্রিয়া অ্যাকাউন্টিং বা সঠিক সেট আপ করব নিরীক্ষণের সরঞ্জামগুলি ... তবে এটি সুরক্ষার জন্য সত্য নয়, তাই আমি কাকে কিছু বোবা করেছিল তা খুঁজে বের করতে পারি এবং তাদেরকে বলতে পারি যে) এটি আবার না করা এবং খ) কীভাবে এটি সঠিকভাবে করা যায়। জুনিয়রের ক্লু লেভেল বৃদ্ধি করা এখানে বিশ্বাসের চেয়ে অনেক বেশি সমস্যা।
ক্যাস
1
গল্পের কথা মনে করিয়ে দেয় যেখানে একজন জুনিয়র বিক্রয় লোক মিলিয়ন ডলারের চুক্তি করে। তিনি আশা করেন যে বস তাকে বরখাস্ত করবে এবং বস বলে, "হেল না! তোমাকে প্রশিক্ষণের জন্য আমার এক মিলিয়ন ডলার ব্যয় হয়েছে!" আমি কথা বলার সাথে সাথে জুনিয়রদের "ক্লু লেভেল" বর্ধমান অনুভব করতে পারি। ;-)
কেপিডব্লিউএনসি
0

এটা কঠিন হবে ...

রুট সাবধানতার সাথে ভালভাবে পরীক্ষা করা স্ক্রিপ্টগুলি চালাতে পারে যা সমস্ত সুরক্ষা ব্যবস্থাগুলি (মনিটরিং প্রক্রিয়াগুলি মেরে ফেলতে পারে), ক্রেড লগ ফাইলগুলিতে / তাদের ট্রিম করতে পারে ... তবে তবুও ...

ধরে নিই যে একাধিক প্রশাসক প্রদত্ত রুট সুবিধাগুলি একটি দল হিসাবে কাজ করছে। এবং রুট পাশাপাশি যে কোনও নিরীক্ষণ প্রক্রিয়াও হত্যা করতে পারে। এবং দুর্ভাগ্যক্রমে, সেই লগইন / পাসওয়ার্ডটি সর্বজনীন হয়ে যায়। অথবা তারা অযাচিত সংস্থাগুলি পায়।

ইউআইডি 0 দিয়ে একাধিক রুট অ্যাকাউন্ট তৈরি করা প্রস্তাবিত না হলেও এটি এখানে প্রযোজ্য।

ইন / ইত্যাদি / ssh / sshd_config লাইনটি এতে পরিবর্তন করা হচ্ছে: PermitRootLogin নং

সুপারিশকৃত. সুতরাং, এখানে, একটি ব্যবহারকারী তার / তার সাধারণ অ্যাকাউন্ট ব্যবহার করে লগ ইন করে (ডেটটাইম স্ট্যাম্প পাশাপাশি লগ হয় (সম্ভবত স্পোফযুক্ত আইপি ঠিকানা)) তারপরে রুটে চলে যায় to su কমান্ড ব্যবহার করে

এবং রুট হিসাবে ডাইরেক্ট লগ ইন এইভাবে প্রতিরোধ করা হয়।

আমাদের ভাবতে হবে, এখানে মূলগুলি কী করতে পারে না।

sudo ভাল করা উচিত। ব্যাক আপ / ইত্যাদি ডিরেক্টরি কনফিগারেশন ফাইলগুলি ভাল হওয়া উচিত। / var / ডিরেক্টরি লগ ফাইলগুলি পর্যায়ক্রমে ইমেল করা উচিত বা পৃথক এনএফএসে সংরক্ষণ করা উচিত।

কীভাবে স্ক্রিপ্টগুলি লেখার বিষয়ে যা মোবাইল গেটওয়ে সংস্থাগুলি থেকে এপিআইগুলিকে সংহত করে যে সমস্ত রুট ব্যবহারকারীর মোবাইলকে এসএমএস করে, তার মধ্যে একটি বাড়ির বাইরে। আমি জানি যে বিরক্তিকর হবে, কিন্তু এখনও।

এসএসএইচ ব্রেকিং বেশিরভাগ প্রশ্নের বাইরে out

সিদ্ধার্থ ভট্টাচার্য
সূত্র
0

গ্রাহকের সাইটে আমাদের নিম্নলিখিত সেটআপ রয়েছে:

  • তেমনিভাবে AD- এ কার্বেরোসের সাথে অনুমোদনের জন্য খুলুন (ব্যক্তিগত অ্যাকাউন্ট)
  • ইউনিক্স প্রশাসকদের নির্দিষ্ট কিছু AD গোষ্ঠীগুলিকে অনুমোদন
  • sudoers গ্রুপ == AD গ্রুপ
  • প্রতিটি সার্ভারে ওএসএসইসি এইচআইডিএস এজেন্ট এবং শক্ত সার্ভারে একটি পরিচালক
  • ওএসএসইসি ওয়েব ইউআই
  • ওএসএসইসি -এর জন্য স্প্লঙ্ক 3 দিয়ে স্প্লঙ্ক 3

এটি সার্ভারগুলিতে প্রতিটি সুডো ব্যবহার লগ করে এবং ফাইল, প্যাকেজ ইনস্টলেশন, সন্দেহজনক প্রক্রিয়া ইত্যাদির কোনও পরিবর্তন ট্র্যাক করে will

chmeee
সূত্র
0

আমাদের সমস্ত সরঞ্জাম অ্যাক্সেস করার জন্য আমাদের কাছে বেশ কয়েকটি টার্মিনাল সার্ভার রয়েছে, যার অর্থ টার্মিনাল সার্ভার থেকে যে কোনও একটিতে লগইন করতে পারে বা যদি কারও কাছে শারীরিক অ্যাক্সেস থাকে।

টার্মিনাল সার্ভারগুলিতে এসএসএসডি http://www.kdvelectronics.eu/ssh-logging/ssh-logging.html এর সাথে প্যাচ করা হয়েছে , ভাল কাজ করে, তবে দীর্ঘ সময়ের জন্য আপডেট হয়নি। আমি ওপেনশ 4.7 এ কাজ করার জন্য এটি কিছুটা পরিবর্তন করেছি, তবে 5.1 দিয়ে তা করতে ব্যর্থ হয়েছি। প্যাচড এসএসডি সেগফাল্টস, এবং যতক্ষণ না আমার এটি ঠিক করার মতো পর্যাপ্ত সময় নেই, আমি প্রায় টিটিআরপিএলডে চলে এসেছি।

ডিমা মেদভেদেভ
সূত্র
0

এখনও পর্যন্ত, আমার কাছে এটিই রয়েছে:

  • সুদোষ : এ এবং বি সমর্থন করে বলে মনে হচ্ছে (যদিও এ সম্পর্কে সম্পূর্ণ নিশ্চিত নয়)
  • সুডোসক্রিপ্ট : বি সমর্থন করে বলে মনে হচ্ছে (সুডোসক্রিপ্টে সুডোশেল নামে একটি উপাদান রয়েছে, এবং রোমান্ডাস এর পরামর্শ অনুসারে, টিপটির জন্য ধন্যবাদ)
  • স্নুপি লগার বা sudo_exetrace : আমি যা খুঁজছি ঠিক তা নয়, তবে এটি একটি ভাল পরিপূরক হতে পারে (এই লিঙ্কগুলির জন্য থিওরিগ্রিপ এবং ব্লুব্লাটজে ধন্যবাদ)

আপনি কি অন্য কোনও অনুরূপ সরঞ্জাম জানেন যা কার্নেল বা অন্যান্য সিস্টেম উপাদানগুলিকে প্যাচিংয়ের সাথে জড়িত না?

mfriedman
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.