আমার কম্পিউটারে ক্রিয়াকলাপ পর্যবেক্ষণ করা হচ্ছে।

16

সুতরাং সম্প্রতি আমি দেখতে পেয়েছি যে কেউ আমার কম্পিউটারটি বিনা অনুমতিতে, ফোল্ডার ব্রাউজ করা ইত্যাদি ব্যবহার করছে ....

আমি সরাসরি আমার সমস্ত পাসওয়ার্ড পরিবর্তন করতে পারি, তবে অনুপ্রবেশকারী পক্ষ যা খুঁজছিল তা সম্পর্কে আমি আগ্রহী। সুতরাং আমি একটি ফাঁদ স্থাপন করতে চাই (অশুভ গ্রিন)

কোন সফ্টওয়্যার আমার কম্পিউটারে কোনও ক্রিয়াকলাপ পর্যবেক্ষণ করবে? আমি জানি যে আমার পর্দা ক্যাপচার এখানে কাজ করবে। আমি বরং একটি লগফিল ব্যবহার করব।

উদাহরণ স্বরূপ:

/var/log/activity.log

[1 আগস্ট 2010 20:23] / ইউএসআর / বিন / থুনার অ্যাক্সেসড / মাল্টিমিডিয়া / সিসিটিভি-রেকর্ডস /
[1 আগস্ট 2010 20:25] / ইউএসআর / বিন / এমপ্লেয়ার অ্যাক্সেস / মাল্টিমিডিয়া / সিসিটিভি-রেকর্ডস /00232.avi
[3 আগস্ট 2010 02:34] /
ইউএসআর / বিন / থান্ডারবার্ড চালানো হয়েছিল [3 আগস্ট ২০১০ 03:33] 12.32.132.123 থেকে অসম্ভব এসএসসি অধিবেশন

আমি যে ক্রিয়াকলাপগুলিতে লগ করতে চাই তা হ'ল:

  • ফাইল সিস্টেমে ফাইল এবং ফোল্ডারগুলিতে অ্যাক্সেস
  • কমান্ডগুলি চালিত হয় (কনসোল বা অন্যথায়)
  • ব্যবহারকারীর সেশনস
security  monitoring  logs  forensics 
স্টিফান
সূত্র
/var/log/auth.log আপনার তৃতীয় বুলেট পয়েন্টটি কভার করা উচিত। অন্যরা কিছুটা তুচ্ছ হতে চলেছে।
ক্যাসাবেল
@ জেফ্রমি আমার লেখক.লগ কেবল সুডো এবং সু কমান্ড চেষ্টা করে ... লগইন নেই :(
স্টেফান

উত্তর:

8

inotifyঅ্যাক্সেস করা ফাইলগুলি পর্যবেক্ষণের জন্য আপনি ইন-কার্নেল প্রক্রিয়াটি ব্যবহার করতে পারেন ।

প্রথমে আপনার পরীক্ষা করা উচিত যে inotifyকার্নেলটি চালু আছে কিনা :

pbm@tauri ~ $ zcat /proc/config.gz | grep CONFIG_INOTIFY
CONFIG_INOTIFY=y
CONFIG_INOTIFY_USER=y

পরবর্তী কাজ ইনস্টল করা হয় inotify-toolsপ্রকল্পের পৃষ্ঠায় আপনি যে বিলি বিতরণ পেতে পারেন তার জন্য নির্দেশাবলী - এটি সমস্ত বড় বিতরণের সংগ্রহস্থলে থাকতে হবে।

এর পরে ইনোটিফাই কাজ করতে প্রস্তুত:

inotifywait /dirs/to/watch -mrq

( m= এক ইভেন্টের পরে প্রস্থান করবেন না, r= পুনরাবৃত্ত, q= শান্ত)

উদাহরণস্বরূপ - পরে আউটপুট ls /home/pbm

pbm@tauri ~ $ inotifywait /bin /home/pbm -mq 
/bin/ OPEN ls
/bin/ ACCESS ls
/bin/ ACCESS ls
/home/pbm/ OPEN,ISDIR 
/home/pbm/ CLOSE_NOWRITE,CLOSE,ISDIR 
/bin/ CLOSE_NOWRITE,CLOSE ls

গুরুত্বপূর্ণ জিনিস হ'ল জন্য সঠিকভাবে ডিরেক্টরি সেট করা:

  • দেখি না /যাও recursively - সেখানে পঠন / লিখন অনেক আছে /devএবং/proc
  • আপনার ঘরের দিরকে পুনরাবৃত্তভাবে না দেখবেন - আপনি যখন অ্যাপ্লিকেশন ব্যবহার করেন তখন অ্যাপ্লিকেশন কনফিগারেশন ডায়ার এবং ব্রাউজারগুলির প্রোফাইল ডায়ারগুলিতে প্রচুর পড়ার / লেখার দরকার হয়

ইন /proc/sys/fs/inotify/max_user_watchesকনফিগারেশন বিকল্প দেখায় কিভাবে অনেক ফাইল একযোগে দেখা যেতে পারে আছে। ডিফল্ট মান (জেন্টুর জন্য) প্রায় এত বেশি নয়, তাই আপনি যদি নজর /home/রাখেন সীমা ছাড়িয়ে যেতে পারে। আপনি echo(রুট অ্যাক্সেস প্রয়োজনীয়) ব্যবহার করে সীমাটি বাড়িয়ে তুলতে পারেন ।

echo 524288 > /proc/sys/fs/inotify/max_user_watches

তবে তার আগে আপনার সেই পরিবর্তনের পরিণতি সম্পর্কে পড়া উচিত ।

আপনার জন্য আকর্ষণীয় হতে পারে এমন বিকল্পগুলি:

  • -d = ডিমন মোড
  • -o file ফাইল আউটপুট =
  • --format = ব্যবহারকারী নির্দিষ্ট ফর্ম্যাট, আরও তথ্য man inotifywait
  • -e EVENT= কি ঘটনা monitor করা উচিত (উদাহরণস্বরূপ access, modifyইত্যাদি আরও তথ্য man)
PBM
সূত্র
সিস্টেম রিসেটের মধ্যে সেটিংস শেষ রাখতে ডিবিয়ানতে আপনি করতে পারেন echo 524288 >> /etc/sysctl.conf && service procps restart। জেন্টুর সমতুল্য কী?
tshpang
আমি জিনিস যে আপনি কি বলতে চান echo "fs.inotify.max_user_watches = 524288" >> /etc/sysctl.conf। জেন্টুতে আপনি একই পদ্ধতি ব্যবহার করতে পারেন, তবে init স্ক্রিপ্ট sysctl.confদ্বারা উত্সাহিত করা হয় /etc/init.d/bootmisc
পিবিএম
1
আসলে এটি /etc/init.d/sysctl।
ওয়ানঅফনে
7

অন্য ছেলেটি কি তোমার কাছে আছে? যদি তার দৈহিক অ্যাক্সেস বা রুট অ্যাক্সেস থাকে তবে সে তার সমস্ত চিহ্ন মুছে ফেলতে এবং এমনকি গুপ্তচর করার জন্য একটি বাগও লাগাতে পারে দিতে পারে । অন্যদিকে, কিছু ট্রেস মুছে ফেলার জন্য একটি ব্যথা এবং সবকিছু নিয়ে ভাবা শক্ত।

বিভিন্ন জিনিষ ইতিমধ্যে সিস্টেম লগের মধ্যে রেকর্ড করা হয়, সাধারণত মধ্যে /var/log(কিছু ব্যবস্থা যেমন একটি ভিন্ন অবস্থান ব্যবহার /var/logsবা/var/adm )। একটি সাধারণ কনফিগারেশনের অধীনে, সমস্ত লগইন এবং মাউন্টগুলি অন্যদের মধ্যে রেকর্ড করা হয়। লগগুলি মুছে ফেলার বিষয়ে আপনি যদি উদ্বিগ্ন হন তবে আপনি রিমোট লগিং সেট আপ করতে পারেন (এটি কীভাবে করা যায় তা সিসলোগ বাস্তবায়নের উপর নির্ভর করে তবে প্রেরকের এবং রিসিভারের মধ্যে একটি কনফিগারেশন ফাইলে পরিবর্তনের জন্য এটি সাধারণত এক বা দুটি লাইন)।

যদি আপনি বা আপনার বিতরণটি এই বৈশিষ্ট্যটি অক্ষম না করে থাকে তবে প্রতিটি ফাইলের অ্যাক্সেসের সময় থাকে ("atime") যা ফাইলটি যখনই পড়া হয় তখন আপডেট হয়। (যদি ফাইল সিস্টেমটি noatimeবা relatimeবিকল্পের সাথে মাউন্ট করা থাকে তবে টাইমটি আপডেট করা হয় না a) টাইমটি নকল করা যেতে পারেtouch -a তবে এটি সিটিটাইম আপডেট করে, তাই এটি কোনও চিহ্ন খুঁজে ফেলে। (এমনকি রুট সরাসরি এই ট্রেসটিকে সরাতে পারে না, আপনার ফাইল সিস্টেম কোডটি বাইপাস করা দরকার))

বিভিন্ন প্রোগ্রামের একটি সেশনের ইতিহাস রয়েছে । অনুপ্রবেশকারী যদি এটির কথা মনে রাখে তবে এটি সরানো সহজ বা জাল। বাশ রাখে ~/.bash_history, ব্রাউজারগুলি তাদের প্রোফাইল ডিরেক্টরিতে প্রচুর পরিমাণে লেখার প্রবণতা রাখে । আপনি বা অন্য সিস্টেম-নির্ভর অবস্থান ~/.xsession-errorsবা ত্রুটি বা সতর্কতাও খুঁজে পেতে পারেন /var/log/Xorg.0.log

অনেকগুলি সংস্থার একটি অ্যাকাউন্টিং- বৈশিষ্ট্য রয়েছে। উদাহরণস্বরূপ জিএনইউ অ্যাকাউন্টিং ইউটিলিটি ম্যানুয়াল , ফ্রিবিএসডি হ্যান্ডবুকে প্রবেশ বা লিনাক্স হাওটো বা সোলারিস গাইড দেখুন । একবার সক্ষম হয়ে গেলে এটি ব্যবহার করে কখন কোন ব্যবহারকারী কোন প্রক্রিয়া চালু করেছিল তা লগ করেexecve কল করে) এবং সম্ভবত আরও কিছু। এতে অনেকগুলি আকর্ষণীয় তথ্য রয়েছে যা এটি লগ করে না, যেমন প্রক্রিয়া দ্বারা অ্যাক্সেস করা ফাইল।

আপনি যদি কোনও ফাইল সিস্টেমে সমস্ত অ্যাক্সেস নিরীক্ষণ করতে চান তবে আপনি এটি লগফেফের মাধ্যমে সরবরাহ করতে পারেন । লোকটি দেখতে ভাবছে কিনা তা লক্ষ্য করা খুব সহজ।

আরও ব্যাপক লগিং প্রোগ্রাম রয়েছে তবে তাদের অতিরিক্ত কার্নেল সমর্থন প্রয়োজন হতে পারে। সোলারিস, ফ্রিবিএসডি, নেটবিএসডি এবং ম্যাক ওএস এক্সে, ডিট্রেস রয়েছে (একটি লিনাক্স বন্দর চলছে) তবে আমি জানি না এটি ব্যবহারের পর্যায়ে পৌঁছেছে কি না)। আপনি ptraceসিস্টেম কলের একটি ইন্টারফেসের মাধ্যমে নির্দিষ্ট প্রক্রিয়াগুলিও সনাক্ত করতে পারেন , উদাহরণস্বরূপ straceলিনাক্সে; এটি একটি লক্ষণীয় মন্দা প্ররোচিত করতে পারে।

¹ কিছু যে উইকিপিডিয়া না? নাহ, এটা পাগল কথা।

গিলস 'তাই খারাপ হওয়া বন্ধ করুন'
সূত্র
1

Fail2ban এবং DenyHØstsএকবার দেখুন ।

iamsid
সূত্র
1
Fail2ban নির্দিষ্ট ক্রিয়াগুলি করতে অ্যাক্সেস লগগুলি দেখায় (যেমন, কোনও আইপি নিষিদ্ধ), তবে এটি এই ধরণের অ্যাক্সেস লগ তৈরি করে না gene ডিআইহোস্টগুলি আইপি নিষিদ্ধ করার জন্য টিসিপি র‍্যাপারগুলিতে নির্ভর করে, এটি ওপি-র সাথে সম্পর্কিত নয়।
বার্থলেমি
1

এটি আপনি যা খুঁজছেন ঠিক তা নয়, তবে কিছু অ্যাপ্লিকেশন সদ্য-অ্যাক্সেস করা ফাইলগুলির একটি তালিকা রাখে। এছাড়াও, জিনোম সেই তালিকাটি রাখে, যা এর প্যানেল থেকে অ্যাক্সেস করা যায়।

আর একটি সমাধান হ'ল জিনোম অ্যাক্টিভিটি জার্নালটি ব্যবহার করা , যদিও আমি শেষবার যাচাই করেছিলাম, এটি সিএলআই ক্রিয়াকলাপের রেকর্ড রাখেনি, এবং কেবলমাত্র অন্যান্য ক্রিয়াকলাপ উপেক্ষা করে ফাইল সম্পর্কিত কার্যকলাপে (পড়া, সম্পাদনা) আগ্রহী।

আপনি /var/logডিরেক্টরি ভিতরেও দেখতে পারেন যেখানে বেশ কয়েকটি প্রোগ্রাম তাদের লগগুলি সংরক্ষণ করে।

tshepang
সূত্র
1

আপনার আক্রমণকারীর পক্ষে পর্যাপ্ত naïveté অনুমান করে, আপনি কেবল script -qft $USER-$$ 2> $USER-$$-timeতার / তার উপযুক্ত লগইন স্ক্রিপ্টে তার বা তার টার্মিনাল মিথস্ক্রিয়াগুলি পর্যবেক্ষণ করতে এবং উপযুক্ত স্ক্রিপ্টপ্লে কমান্ডগুলির সাথে পুনরায় খেলতে পারেন।

ফাইল-স্তরের অ্যাক্সেস নিরীক্ষণ করার জন্য, আমি একটি সংযোজনের সুপারিশ strace -fe opensshd কমান্ড যথাযথ লগিং সঙ্গে এবং লগইন সেশনগুলির জন্য ফিল্টারিং (হয়তো বা এটা ভাল শুধু থেকে সতর্কতা এই কাজ করতে দেওয়া হল:। বিশাল আউটপুট একটি আধুনিক সিস্টেমে কিছু করছেন সাল থেকে স্পর্শ করে অনেক ফাইল । আপনি কিছু নির্দিষ্ট ফাইলের নিরীক্ষণ করতে চান, কটাক্ষপাত আছে auditd এবং তার সমর্থন পরিকাঠামো।

অন্যান্য উত্তর অনুসারে সেশনলগ থেকে সেশন এবং লগইন প্রচেষ্টা সংগ্রহ করা যেতে পারে।

থমাস থিমল
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.