<div dir="ltr"><div dir="ltr"><div>Υπάρχει και το snoopy: <a href="https://github.com/a2o/snoopy">https://github.com/a2o/snoopy</a> </div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Στις Τετ, 27 Μαρ 2019 στις 4:59 μ.μ., ο/η Dimos Alevizos <<a href="mailto:dalevizo@otenet.gr">dalevizo@otenet.gr</a>> έγραψε:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Καλησπερα,<br>
<br>
μπορει να φταιει οτι εγω δεν καταλαβα το documentation αλλα αυτο που με χαλαγε στο auditd ειναι οτι δεν γραφει ακριβως αυτο που ετρεξε ο χρηστης, γραφει μονο το ονομα του binary.<br>
Τελικα καταληξαμε σε μια εναλλακτικη που ομολογουμενως ειναι πιο τρυπια απο αποψη security και πιο δυσκολο να την συντηρησεις αλλα μας εδινε ακριβως αυτο που θελαμε τοτε.<br>
Πατσαρισμενο bash που στελνει το history σε syslog :<br>
<br>
Mar 11 06:26:39 vm-0 bash: HISTORY: PID=28987 user dalevizo as dalevizo(1001) run: sudo -s<br>
Mar 11 06:26:45 vm-0 bash: HISTORY: PID=29016 user dalevizo as root(0) run: cd /home/dalevizo/swift/<br>
<br>
D.<br>
<br>
On 27/3/19 4:11 μ.μ., Dimitris Kalogeras wrote:<br>
> Καλησπέρα Αντρέα,<br>
><br>
> Στις 2019-03-27 11:55, Polyrakis Andreas έγραψε:<br>
>> Καλησπέρα,<br>
>><br>
>> Ψάχνω να βρω ενα καλό τρόπο καταγραφής<br>
>> των ενεργειών που έχουν γίνει σε<br>
>> κάποιο σύστημα (linux ή δικτυακή συσκευή)<br>
>> από τους χρήστες. Δηλαδή με ενδιαφέρει<br>
>> να ξέρω ΠΟΙΟΣ έτρεξε ΤΙ, και ΠΌΤΕ.<br>
><br>
> Για το ποιός έχει να κάνει με το authentication και νομίζω<br>
> οτι το Radius/tacacs/sshd/pam είναι επαρκή για να έχεις (sys)logging του authentication.<br>
><br>
> ΤΟ τί έτρεξε είναι ποιο περίπλοκο και σίγουρα το tacacs είναι επαρκες (από το τελευταίο Α του AAA) το radius λιγότερο..<br>
> (δεν έχει accounting για το exec). Σε περιβάλλον  φλοιού είναι πιο περίπολο και μάλλον θέλεις να το κάνεις καλύτερα<br>
> σε επίπεδο kernel (execv/spawn) με το audit subsystem στο linux π.χ<br>
><br>
> auditctl -a exit,always -F arch=b64 -F euid=0 -S execve -k root-commands Και ausearch -k root-commands.<br>
><br>
> Χαιρετισμούς,<br>
> Δημήτρης<br>
><br>
> (σε αυτά τα πλαίσια το <a href="https://fabianlee.org/2018/12/02/ubuntu-auditing-sudo-commands-and-forwarding-audit-logs-using-syslog" rel="noreferrer" target="_blank">https://fabianlee.org/2018/12/02/ubuntu-auditing-sudo-commands-and-forwarding-audit-logs-using-syslog</a><br>
> για αποθήκευση σε remote syslog)<br>
><br>
>><br>
>> Αντιλαμβάνομαι πως οι δύο κόσμοι<br>
>> είναι διαφορετικοί οπότε μου κάνουν<br>
>> και απαντήσεις που αφορούν την μια από<br>
>> τις δύο περιπτώσεις.<br>
>><br>
>> Με ενδιαφέρουν όλοι οι δυνατοί τρόποι<br>
>> (πχ καταγραφή στην μεριά του<br>
>> διαχειριστή, στην μεριά του server, από<br>
>> ενδιάμεσο κουτί που θα<br>
>> χρησιμοποιείται), αρκεί ο τρόπος να<br>
>> είναι εύχρηστος και όσο το δυνατό<br>
>> περισσότερο γενικός - και όχι το<br>
>> .bash_history δεν μου αρκεί. Ο κύριος σκοπός<br>
>> δεν είναι η παρακολούθηση κάποιου που<br>
>> κακόβουλα θα θέλει να κρύψει τα ίχνη<br>
>> του (δηλαδή μπορώ να δεχτω ότι ο root θα<br>
>> μπορεί να σβήσει τα ίχνη του, ή ότι σε<br>
>> ορισμένες περιπτώσεις,, πχ πρόσβαση<br>
>> μέσω console κλπ η κατγραφή δεν θα<br>
>> δουλεύει).<br>
>><br>
>> Ιδανικά θα ήθελα κάτι που να μην<br>
>> παρακολουθεί μόνο το ssh αλλά και<br>
>> άλλους τρόπους αλληλεπίδρασης με ένα<br>
>> σύστημα (πχ netconf, APIs, ...)<br>
>><br>
> Αυτό δεν θα μπορούσε να γίνει επειδή το παραπάνω API δεν χειρίζεται το authentication kai<br>
> accounting<br>
><br>
><br>
>> Ιδέες και εμπειρίες ευπρόσδεκτες.<br>
>><br>
>> Ευχαριστώ προκαταβολικά,<br>
>><br>
>> Ανδρέας<br>
><br>
<br>
<br>
</blockquote></div><br clear="all"><div><br></div>-- <br><div dir="ltr" class="gmail_signature">Nikos Kokkalis</div></div></div>