মূল ব্যবহারকারীর সাথে সমস্ত রুট ক্রিয়াকলাপ লগ করুন যিনি রুটে su /d / sudoed করেছেন

11

রুট লগইন নিষ্ক্রিয় (এসএসএইচ) করা থাকলে ব্যবহারকারীরা চালাতে sudo -iবা রুট হওয়ার জন্য কে লগগুলিতে রুট হিসাবে কাজ করে তার ট্র্যাক রাখতে পছন্দের পদ্ধতিটি কী su -? আমি প্রতিটি কমান্ডের সাথে মূল ব্যবহারকারীর নামটিও অনুসরণ করতে চাই। RHEL 6 বা যে কোনও লিনাক্স আরএসল্লগ ইত্যাদি

logs  root 
গ্রেগ লেভেন্টাল
সূত্র

উত্তর:

7

সর্বাধিক শক্তিশালী পদ্ধতিগুলি অডিট করা হয়েছে বলে মনে হচ্ছে:

http://blog.ptsecurity.com/2010/11/requirement-10-track-and-monitor-all.html

অডিট করা মূলত সমস্ত সিস্টেম কলকে বাধা দেয় এবং সেগুলি আপনার বিধিগুলির সেটের বিপরীতে চেক করে। সুতরাং আপনার /etc/audit/audit.rulesফাইলে আপনার নীচের মতো কিছু থাকবে:

# This file contains the auditctl rules that are loaded
# whenever the audit daemon is started via the initscripts.
# The rules are simply the parameters that would be passed
# to auditctl.

# First rule - delete all
-D

# Increase the buffers to survive stress events.
# Make this bigger for busy systems
-b 320

# Feel free to add below this line. See auditctl man page
-a always,exit -F euid=0 -F perm=wxa -k ROOT_ACTION

সর্বশেষ নিয়মটি একমাত্র অ-ডিফল্ট নিয়ম।

এই পদ্ধতির প্রধান ত্রুটি (এবং বিকল্পগুলির সন্ধান করার সময় আমি এই প্রশ্নটি খুঁজে পেয়েছি) হ'ল কাঁচা লগ ফাইলগুলি বেশ ক্রিপ্টিক এবং কাঁচা লগ ফাইলটিতে অনুসন্ধানের প্রোগ্রামটি চালানোর পরে কেবল সহায়ক: ausearch

এই নিয়মের জন্য একটি উদাহরণ ক্যোয়ারী হ'ল:

ausearch -ts today -k ROOT_ACTION -f audit_me | aureport -i -f

একটি সাধারণ জ্ঞানের সমাধান সম্ভবত একটি ক্রোন তৈরি করা হবে যা আপনার কাঁচা নিরীক্ষিত লগগুলিকে জিজ্ঞাসা করবে এবং তারপরে সেগুলি আপনার লগিং সমাধানে প্রেরণ করবে।

freb
সূত্র
: আপনি খুঁজছেন কিছু জন্য যে প্রতিস্থাপন auditd এবং আপনার জন্য কাঁচা ঘটনা পারস্পরিক সম্পর্ক হয়, তাহলে, খুঁজে বার করো github.com/slackhq/go-audit
freb
3

ফেডোরা / সেন্টোস / আরএইচইএল সিস্টেমে /var/log/secureলগ ইন করা বা ব্যবহার করা হচ্ছে তা সনাক্ত করতে আপনি সাধারণত লগটি সাধারণত লগটি ব্যবহার করেন sudo

উদাহরণ

sudo উদাহরণ 
$ sudo -Es

লগ ফলাফল:

সেপ্টেম্বর 1 19:32:51 গ্রিনেগস সুডো: স্যামল: টিটিওয়াই = পিটিএস / 2; পিডব্লিউডি = / হোম / সামল; ব্যবহারকারী = মূল; কমান্ড = / বিন / ব্যাশ

su উদাহরণ 
$ su -

লগ ফলাফল:

সেপ্টেম্বর 1 19:34:49 গ্রিনেগস সু: পাম_উনিক্স (সু-এল: সেশন): স্যামেল দ্বারা ব্যবহারকারী রুটের জন্য সেশন খোলা হয়েছে (uid = 1000)

SLM
সূত্র
3

আপনার যদি ব্যবহারকারীদের সহযোগিতা করে থাকেন, আপনি মূল ব্যবহারকারীকে সমস্ত ধরণের সিস্টেলে লগ করতে রুটস সেটআপ করতে পারেন।

http://linux.die.net/man/1/rootsh

রুটশ আরপিএমএস EPEL এ উপলব্ধ।

RHEL6 এ সুডোর সংস্করণটি প্রতিটি সুডো সেশনের জন্য একটি ফাইলে stdout লগ করতে সক্ষম। Sudo_plugins ম্যান পৃষ্ঠাতে দেখুন।

এই পদ্ধতির কোনওটিই পুরোপুরি বুলেটপ্রুফ নয়।

ফ্রেড ম্যাজিক ওয়ান্ডার কুকুর
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.