Spisie treści
Aby monitorować i kontrolować użytkowników na serwerach wiemy, że jest to bardzo złożone zadanie ze względu na współużytkowanie użytkowników m.in. własny użytkownik otrzymuje kasowanie, które może nawet przesyłać lub tworzyć pliki binarne, a zmodyfikowane pliki lub zmodyfikowane wywołania nie są wyraźnie widoczne.A opcja trochę kontroli mamy snoopylogger, o którym wiemy, że znajduje się w wielu dystrybucjach i że jest to tylko biblioteka, która będzie odpowiedzialna za przechowywanie poleceń i użytkownika, który je wykonuje za pośrednictwem syslogd.
Aby zainstalować Snoopylogger pobieramy go z terminala
wget http://downloads.sourceforge.net/project/snoopylogger/snoopy-1.8.0.tar.gz?r=&ts=1322946864&use_mirror=nchc
Rozpakuj plik w wybranym przez nas katalogu
tar xf snoopy-1.8.0.tar.gz
Mamy dostęp do rozpakowanego katalogu
cd snoopy-1.8.0
Następnie musimy go skonfigurować i zmodyfikować niektóre parametry, uzyskując dostęp do pliku snoopy.h
nano snoopy.h
Wewnątrz pliku ustawimy następujące parametry
#define SNOOPY_ROOT_ONLY 1 #define SNOOPY_MAX_ARG_LENGTH 12288
./konfiguruj
Następnie kompilujemy i instalujemy za pomocą następujących poleceń
stwórz i stwórz instalację
Program uruchamiamy następującym poleceniem
włącz
Następnie musimy ustawić snoopy, aby działał automatycznie, dodając nową linię w /etc/ld.so.preload
Na koniec zaleca się ponowne uruchomienie systemu operacyjnego, a wraz z nim powinien zacząć działać poprawnie. Zebrane logi zostaną zapisane w trasie:
- / var / log / wiadomość
- Albo może też być / var / log / auth i / var / log / secure
Aby zobaczyć logi, które zostały zarejestrowane, używamy następującego polecenia
ogon /var/log/auth.log
Na przykład podczas uruchamiania polecenie ls Z terminala z użytkownikiem root polecenie ls, aby wyświetlić pliki, generuje następujący rekord.
6 grudnia 15:25:12 centos snoopy [13845]: [uid: 0 sid: 13833 tty: / dev / pts / 2 cwd: / root nazwa pliku: / bin / ls]: ls
Czym jest sudosz?Sudosh to narzędzie służące do nagrywania sesji, jakby to było wideo, wszystkich poleceń wykonywanych w terminalu.
Sudosh jest zaprojektowany do działania na dystrybucjach Debiana gdy użytkownik wymaga uprawnień administratora. Po wykonaniu przechowuje dane w dwóch plikach dziennika, w jednym z komendami, aw drugim z czasami. Tradycyjną metodą ominięcia dziennika poleceń jest użycie aplikacji, które umożliwiają wykonywanie poleceń. Na przykład otwierany jest edytor nano i stamtąd wprowadzane są instrukcje, takie jak cat / etc / passwd, aby uzyskać dostęp do kluczy systemowych.
Ta technika nie jest możliwa w przypadku sudosh, ponieważ dziennik pokaże, jak otwiera się nano i jak wykonywane są polecenia. Aby go zainstalować, jest pobierany i kompilowany. Pliki dziennika przechowywane są w:
/ var / log / sudosh /
Aby przejrzeć filmy, które są konwertowalnymi plikami tekstowymi, użyj polecenia sudosh-powtórka po którym następuje identyfikator pliku, bez tego argumentu zostaną wyświetlone wszystkie dostępne.
Ostateczna konkluzjaTe dwa narzędzia pozwolą nam mieć pewną kontrolę nad tym, co wykonują nasi użytkownicy, a tym samym mieć bardziej adekwatne zarządzanie bezpieczeństwem na serwerze.Podobał Ci się i pomógł ten samouczek?Możesz nagrodzić autora, naciskając ten przycisk, aby dać mu pozytywny punkt
