GoldenLine
Zaloguj się
Jakub M.

Jakub M. SAP Basis Expert

Temat: Logowanie root-a poprzez syslog-a

Witam,

mam pytanie, czy jest możliwe logowanie czynności root-a poprzez sysloga, a jeśli tak to w jaki sposób?
Chodzi o to, żeby było widoczne co i kiedy wykonywał root, łącznie z komendami, z których korzystał.

Audytorzy się uparli ;)

Pozdrawiam
Link do wypowiedziLink

konto usunięte

Temat: Logowanie root-a poprzez syslog-a

Najprościej wyłączyć logowanie na roota, pozakładać konta personalne i skonfigurować sudo, żeby można było odpalać all@root i wtedy wszystko się nam ładnie loguje. Druga opcja to próba zabawy z auditingiem, który w AIXie jest nieludzko upierdliwy.
Link do wypowiedziLink
Jakub M.

Jakub M. SAP Basis Expert

Temat: Logowanie root-a poprzez syslog-a

Problem w tym, że logowanie na roota musi być dostępne, ze względu na pewne operacje, a sudo chcemy uniknąć.
Audytorzy chcą, aby było wiadomo co robił root jeśli już był używany.
Link do wypowiedziLink
Piotr B.

Piotr B. security engineer w
Prevenity

Temat: Logowanie root-a poprzez syslog-a

Do audytowania służy audit, nie syslog :)

http://www.redbooks.ibm.com/abstracts/sg246396.html
Link do wypowiedziLink
Jakub M.

Jakub M. SAP Basis Expert

Temat: Logowanie root-a poprzez syslog-a

Chodzi o logowanie a nie audytowanie. Dostaliśmy sugestię od audytorów żeby użyć sysloga.
Link do wypowiedziLink
Tomasz Z.

Tomasz Z. UNIX (AIX / Linux)
Consultant

Temat: Logowanie root-a poprzez syslog-a

Syslog zapisze, ze ktos sie zalogowal lub przelaczyl na roota. Nie zaloguje historii wykonywanych polecen.
Link do wypowiedziLink
Jakub M.

Jakub M. SAP Basis Expert

Temat: Logowanie root-a poprzez syslog-a

No właśnie i tylko taki efekt uzyskałem. Myślałem, że da radę coś więcej logować.
Link do wypowiedziLink
Robert W.

Robert W. System
Administrator,
Polbank EFG S.A. -
NIE szukam pracy !

Temat: Logowanie root-a poprzez syslog-a

To co chcesz uzyskać daje się łatwo zrobić przez "zewnętrzny" soft. Co prawda swoje to kosztuje niestety ale kontrola jest pełna. Coś za coś. Używając sysloga nie uzyskasz takiego rezultatu jaki być chciał.

http://www.beyondtrust.com/PowerBroker-Servers-Unix.as...
Link do wypowiedziLink
Jakub M.

Jakub M. SAP Basis Expert

Temat: Logowanie root-a poprzez syslog-a

Znalazłem coś takiego, ale za bardzo nie chce działać:



Logging commands in korn shell



Yet another blast from the past, but I was asked for this again today.





How can you log every command typed into a korn shell session? Here is the cheap and dirty but surprisingly useful way that logs them all into syslog.





Type this into your shell and you can capture the command, it's return code and the current working directory.



function dlog

{

        typeset -i stat=$?

        typeset x

        x=$(fc -ln -0)

        logger -p daemon.notice -t "ksh $LOGNAME $$" Status $stat PWD $PWD \'${x#       }\'

}

trap dlog DEBUG



(note that there is a tab after the # in “${x# }”)





You might want to use a different logging facility but that one gets it into /var/adm/messages:





Mar  2 14:44:15 estale ksh cg13442 497922: [ID 702911 daemon.notice] Status 0 PWD /home/cg13442 'ls'

Mar  2 14:44:18 estale ksh cg13442 497922: [ID 702911 daemon.notice] Status 1 PWD /home/cg13442 'false'

Mar  2 14:45:09 estale ksh cg13442 497922: [ID 702911 daemon.notice] Status 0 PWD /home/cg13442 'ls -la'



I had run ls, false and “ls -la” which is dutifully logged.
Jakub M. edytował(a) ten post dnia 14.10.10 o godzinie 14:04
Link do wypowiedziLink

konto usunięte

Temat: Logowanie root-a poprzez syslog-a

Jakub M.:
Znalazłem coś takiego, ale za bardzo nie chce działać:



Logging commands in korn shell

Tak ... a w takim logu komenda bash jest ostatnią :)
Link do wypowiedziLink
Tomasz Z.

Tomasz Z. UNIX (AIX / Linux)
Consultant

Temat: Logowanie root-a poprzez syslog-a

PowerBroker lub NPUM z Novell'a.
Link do wypowiedziLink
Piotr B.

Piotr B. security engineer w
Prevenity

Temat: Logowanie root-a poprzez syslog-a

Jakub M.:
Chodzi o logowanie a nie audytowanie. Dostaliśmy sugestię od audytorów żeby użyć sysloga.

Odpowiednia konfiguracja auditingu to załatwi. W uproszczeniu wystarczy logować eventy exec dla usera root. O to chodzi?
Link do wypowiedziLink

konto usunięte

Temat: Logowanie root-a poprzez syslog-a

Tomasz Z.:
Syslog zapisze, ze ktos sie zalogowal lub przelaczyl na roota. Nie zaloguje historii wykonywanych polecen.

Zaloguje polecenia wykonane przez sudo.
Link do wypowiedziLink

konto usunięte

Temat: Logowanie root-a poprzez syslog-a

Piotr Berliński:
Jakub M.:
Chodzi o logowanie a nie audytowanie. Dostaliśmy sugestię od audytorów żeby użyć sysloga.

Odpowiednia konfiguracja auditingu to załatwi. W uproszczeniu wystarczy logować eventy exec dla usera root. O to chodzi?

Drążąc dalej, nie zabezpieczy nas to przed wyłączeniem lub oczyszczeniem auditingu przez osoby mające roota. Niestety na rynku nie ma za dużo softu, który potrafi dane z auditingu ściągać na jakiś zewnętrzny serwer w czasie rzeczywistym.
Link do wypowiedziLink
Piotr B.

Piotr B. security engineer w
Prevenity

Temat: Logowanie root-a poprzez syslog-a

Filip Kata:
Drążąc dalej, nie zabezpieczy nas to przed wyłączeniem lub oczyszczeniem auditingu przez osoby mające roota. Niestety na rynku nie ma za dużo softu, który potrafi dane z auditingu ściągać na jakiś zewnętrzny serwer w czasie rzeczywistym.

Trudno zabezpieczyć się całkowicie przed zdolnym właścicielem roota :)
Można by trzymać auditing na wyshareowanym filesystemie i zgrywać w czasie rzeczywistym, a dodatkowo generować heartbeat'y utrudniające modyfikację auditingu lub share'a, ale to zawsze da się obejść.

Inną metodą jest monitorowanie połączeń do systemów np. "podsłuchiwanie" połączeń ssh i konsolowych. Ale tutaj też nie ma 100% szczelności.

Najlepiej po prostu dobrze opłacać administratorów ;)

Aczkolwiek na potrzeby audytu zewnętrznego, któryś z powyższych powinien "dać radę". Jeśli będą chcieli coś więcej to niech audytor zaproponuje 100% szczelne rozwiązanie :P
Link do wypowiedziLink
Mariusz Masewicz

Mariusz Masewicz Prawie wszysko o
bazach danych Oracle
:-)

Temat: Logowanie root-a poprzez syslog-a

Filip Kata:
Drążąc dalej, nie zabezpieczy nas to przed wyłączeniem lub oczyszczeniem auditingu przez osoby mające roota. Niestety na rynku nie ma za dużo softu, który potrafi dane z auditingu ściągać na jakiś zewnętrzny serwer w czasie rzeczywistym.

Hmm - a moze by tak do serwera podpiac drukarke iglowa...
Tak sie czasem robi, jak musisz miec "trwaly" log/wynik audytowania

Pozdrawiam

Mariusz
Link do wypowiedziLink
Robert Dzikliński

Robert Dzikliński Kordynator, PZU
SA/PZU Życie SA

Temat: Logowanie root-a poprzez syslog-a

Używałem auditingu i nie byłem z niego do końca zadowolony. :/
1. Dołączając się do pomysłów można podłączyć się z tailem do history i kopiować to na inną maszynę.
2. Można również podmienić Shella który będzie zrzucał log, oczywiście na inna maszynę. :)
Napisz jak rozwiązałeś swój problem.
Link do wypowiedziLink

konto usunięte

Temat: Logowanie root-a poprzez syslog-a

http://blog.rootshell.be/2009/02/28/bash-history-to-sy...
http://blogs.sun.com/chrisg/entry/logging_commands_in_...

Może nie najpiękniejsze rozwiązania ale spełniają swoją funkcję wyśmienicie ;)
Widzę, że ten drugi link już był poruszany. Nie mam żadnej maszyny z AIX'em ale wersja z bashem działa bez zarzutu ;)
Co do bezpieczeństwa takiego logu no to oczywiście zrzucamy to syslogiem na inną maszynę i wsio ;)
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

logowanie poprzez accessa d...




Wyślij zaproszenie do
Anuluj