[grnog] Συστήματα καταγραφής εντολών cli (και όχι μόνο)

[Costas Drogos]

On Wed, Mar 27, 2019 at 10:54 AM Polyrakis Andreas <apolyr at gmail.com> wrote:
>
> Καλησπέρα,
>
> Ψάχνω να βρω ενα καλό τρόπο καταγραφής των ενεργειών που έχουν γίνει σε κάποιο σύστημα (linux ή δικτυακή συσκευή) από τους χρήστες. Δηλαδή με ενδιαφέρει να ξέρω ποιος έτρεξε τι, και πότε.
>
> Αντιλαμβάνομαι πως οι δύο κόσμοι είναι διαφορετικοί οπότε μου κάνουν και απαντήσεις που αφορούν την μια από τις δύο περιπτώσεις.
>
> Με ενδιαφέρουν όλοι οι δυνατοί τρόποι (πχ καταγραφή στην μεριά του διαχειριστή, στην μεριά του server, από ενδιάμεσο κουτί που θα χρησιμοποιείται), αρκεί ο τρόπος να είναι εύχρηστος και όσο το δυνατό περισσότερο γενικός - και όχι το .bash_history δεν μου αρκεί. Ο κύριος σκοπός δεν είναι η παρακολούθηση κάποιου που κακόβουλα θα θέλει να κρύψει τα ίχνη του (δηλαδή μπορώ να δεχτω ότι ο root θα μπορεί να σβήσει τα ίχνη του, ή ότι σε ορισμένες περιπτώσεις,, πχ πρόσβαση μέσω console κλπ η κατγραφή δεν θα δουλεύει).
>
> Ιδανικά θα ήθελα κάτι που να μην παρακολουθεί μόνο το ssh αλλά και άλλους τρόπους αλληλεπίδρασης με ένα σύστημα (πχ netconf, APIs, ...)
>
> Ιδέες και εμπειρίες ευπρόσδεκτες.
>
> Ευχαριστώ προκαταβολικά,
>
> Ανδρέας

Καλημέρα,

αυτό που κάνουμε εμείς για αυτά είναι:
* στο junos, log τα interactive-commands σε file και μετά ship στον
syslog server, μαζί με άλλο ένα φίλτρο που έχει ssh/netconf logins
και άλλο ένα που έχει commits (ώστε να μπορούμε να τα συνδυάσουμε)

* στο linux, χρησιμοποιούμε το audit framework του kernel:
   - παλιότερα με τον auditd, που με βάση ένα ruleset βγάζει log
entries σε ένα text file και μπορείς να τα στείλεις σε ένα log server
   - πλέον με το auditbeat του ELK stack, που πάλι με (σχεδόν) το ίδιο
ruleset παράγει log entries και τα στέλνει σε ένα ELK cluster για
επεξεργασία/dashboards κτλ

Δοκιμάσαμε και ossec στο παρελθόν, αλλά το βγάλαμε γιατί το auditbeat
κάνει αυτά που θέλουμε (auditing, file tampering) και είναι πολύ πιο
ελαφρύ και εύκολο στη διαχείρηση.

Αυτά τα λίγα :)

Κώστας