The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

форумы  правила/FAQ  поиск  регистрация  вход/выход  слежка  RSS
"Фиксация действий в консоли"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Информационная безопасность (Безопасность системы / Linux)
Изначальное сообщение [ Отслеживать ]

"Фиксация действий в консоли"  –1 +/
Сообщение от Dark Smoke (ok) on 21-Апр-17, 12:58 
Добрый день
Кто от имеет опыт с какими-то системами которые полностью фиксируют действи администратора в консоли (мс). Полный лог действий.
Причем учесть что парк машин около 500 шт.
Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


5. "Фиксация действий в консоли"  –2 +/
Сообщение от pavlinux (ok) on 21-Апр-17, 15:23 
> Добрый день
> Кто от имеет опыт с какими-то системами которые полностью фиксируют действи администратора
> в консоли (мс). Полный лог действий.
> Причем учесть что парк машин около 500 шт.

1. Стандартно, почти никак. Чайники не в теме, а хацкеры все равно наипут и shell и мс (не расскажу).

2. Трахаться c Linux Security Modules и прочими системами хуков на syscallы.

3. Хардкор вариант - перекопмилить mc, {ba,z,c,tc}sh с логированием всех действий.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Фиксация действий в консоли"  +/
Сообщение от pavlinux (ok) on 21-Апр-17, 15:33 
4. Самое главное - наcpaть, настроить квоты/лимиты и ограничить область действия на запись домашним каталогом.


От том как притащить бинарник через текстовый буфер, выдрать подпись ELF и
приклеить её к своему бинарнику, мы расскажем в следующей передаче.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Фиксация действий в консоли"  –1 +/
Сообщение от pavel (??) on 23-Апр-17, 07:28 
> 4. Самое главное - наcpaть, настроить квоты/лимиты и ограничить область действия на
> запись домашним каталогом.
> От том как притащить бинарник через текстовый буфер, выдрать подпись ELF и
> приклеить её к своему бинарнику, мы расскажем в следующей передаче.

Много лет назад еще обсуждали, как компилятор из системы убрать,что бы зло-умышленик не смог собрать руткит. Ха ха ха.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Фиксация действий в консоли"  +/
Сообщение от universite (ok) on 23-Апр-17, 14:50 

> Много лет назад еще обсуждали, как компилятор из системы убрать,что бы зло-умышленик
> не смог собрать руткит. Ха ха ха.

Это не мешает перенести бинарник компиллятора с скомпиллированными либами.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Фиксация действий в консоли"  +1 +/
Сообщение от pavlinux (ok) on 25-Апр-17, 03:24 
> Много лет назад еще обсуждали, как компилятор из системы убрать,что бы зло-умышленик
> не смог собрать руткит. Ха ха ха.

У меня где-то было указанно про компиляцияю? Гы-гы-гы.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "Фиксация действий в консоли"  +/
Сообщение от ziplex on 06-Сен-17, 12:57 
Есть такая утилита script - позволяет записывать все действия в файл,  запихать ее в
login/logout скрипты соотв. шелла. например для bash это будет ~/.bash_profile, ~/.bashrc и ~/.bash_logout.
но как уже выразились компетентные люди от продвинутых пользователей это не спасет.


Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Фиксация действий в консоли"  +/
Сообщение от ziplex on 06-Сен-17, 13:00 
Еще помимо script есть auditd, тоже вариант.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Фиксация действий в консоли"  +/
Сообщение от ziplex on 06-Сен-17, 13:32 
Для того чтобы включить ведение логов пользователя root через связку auditd и pam нужно добавить в файл /etc/pam.d/system-auth-ac строку.
session required pam_tty_audit.so disable=* enable=root

Лог будет вестись в /var/log/audit/audit.log Для просмотра логов можно использовать команду aureport --tty -ts todayПараметры ключа -ts следующие: now, recent, today, yesterday, this-week, week-ago, this-month, this-yearлистинг команды aureport --tty -ts today

Данный способ фиксирует все нажатия пользователя на клавиатуре, что приводит к образованию небольшого мусора в в отчете. В частности при использовании midnight commander.Также следует учесть что данный метод не фиксирует команды выбранные из истории шелла.

Данный момент следует учитывать при использовании данного метода. Но при всем этом данный способ ведет лог всей консоли.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Фиксация действий в консоли"  +/
Сообщение от ziplex on 06-Сен-17, 13:38 
Да еще забыл добавить что логи можно централизованно хранить.
Для этого используется плагин audisp-remote. Он входит в пакет audisp-plugins, нужно устанавливать дополнительно.

Еще как вариант подменять шел, давно как-то такое делал, собирал свой bash,  году в 2001, но зачем изобретать велик, есть готовые решения, хотя на питоне можно обертку написать для баш, вариантов короче много.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Фиксация действий в консоли"  +/
Сообщение от Kos (??) on 16-Ноя-17, 11:36 
софтина Rootsh, с ней все простосто
посложнее - auditD

>Да еще забыл добавить что логи можно централизованно хранить.

нужно. и дело не только в том что они центализованны,
а в том что логи на хосте в скоуп-зоне, куда ни у кого нет доступа.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2017 by Maxim Chirkov  
ДобавитьРекламаВебмастеруГИД  
Hosting by Ihor