[grnog] Συστήματα καταγραφής εντολών cli (και όχι μόνο)

Dimitris Kalogeras D.Kalogeras at noc.ntua.gr
Wed Mar 27 15:11:29 CET 2019 

Καλησπέρα Αντρέα,

Στις 2019-03-27 11:55, Polyrakis Andreas έγραψε:
> Καλησπέρα,
> 
> Ψάχνω να βρω ενα καλό τρόπο καταγραφής
> των ενεργειών που έχουν γίνει σε
> κάποιο σύστημα (linux ή δικτυακή συσκευή)
> από τους χρήστες. Δηλαδή με ενδιαφέρει
> να ξέρω ΠΟΙΟΣ έτρεξε ΤΙ, και ΠΌΤΕ.

Για το ποιός έχει να κάνει με το authentication και νομίζω
οτι το Radius/tacacs/sshd/pam είναι επαρκή για να έχεις (sys)logging του 
authentication.

ΤΟ τί έτρεξε είναι ποιο περίπλοκο και σίγουρα το tacacs είναι επαρκες 
(από το τελευταίο Α του AAA) το radius λιγότερο..
(δεν έχει accounting για το exec). Σε περιβάλλον  φλοιού είναι πιο 
περίπολο και μάλλον θέλεις να το κάνεις καλύτερα
σε επίπεδο kernel (execv/spawn) με το audit subsystem στο linux π.χ

auditctl -a exit,always -F arch=b64 -F euid=0 -S execve -k root-commands 
Και ausearch -k root-commands.

Χαιρετισμούς,
Δημήτρης

(σε αυτά τα πλαίσια το 
https://fabianlee.org/2018/12/02/ubuntu-auditing-sudo-commands-and-forwarding-audit-logs-using-syslog
για αποθήκευση σε remote syslog)

> 
> Αντιλαμβάνομαι πως οι δύο κόσμοι
> είναι διαφορετικοί οπότε μου κάνουν
> και απαντήσεις που αφορούν την μια από
> τις δύο περιπτώσεις.
> 
> Με ενδιαφέρουν όλοι οι δυνατοί τρόποι
> (πχ καταγραφή στην μεριά του
> διαχειριστή, στην μεριά του server, από
> ενδιάμεσο κουτί που θα
> χρησιμοποιείται), αρκεί ο τρόπος να
> είναι εύχρηστος και όσο το δυνατό
> περισσότερο γενικός - και όχι το
> .bash_history δεν μου αρκεί. Ο κύριος σκοπός
> δεν είναι η παρακολούθηση κάποιου που
> κακόβουλα θα θέλει να κρύψει τα ίχνη
> του (δηλαδή μπορώ να δεχτω ότι ο root θα
> μπορεί να σβήσει τα ίχνη του, ή ότι σε
> ορισμένες περιπτώσεις,, πχ πρόσβαση
> μέσω console κλπ η κατγραφή δεν θα
> δουλεύει).
> 
> Ιδανικά θα ήθελα κάτι που να μην
> παρακολουθεί μόνο το ssh αλλά και
> άλλους τρόπους αλληλεπίδρασης με ένα
> σύστημα (πχ netconf, APIs, ...)
> 
Αυτό δεν θα μπορούσε να γίνει επειδή το παραπάνω API δεν χειρίζεται το 
authentication kai
accounting


> Ιδέες και εμπειρίες ευπρόσδεκτες.
> 
> Ευχαριστώ προκαταβολικά,
> 
> Ανδρέας

-- 
Χαιρετισμούς,

Δημήτρης Καλογεράς
Ερευνητής Β' ΕΠΙΣΕΥ

--
Dimitrios K. Kalogeras

Electrical Engineer Ph.D.
Network Engineer
NTUA/ICCS
  _____________________________________
  skype: aweboy
  voice: +30-210-772 1863
  fax: +30-210-772 1866

More information about the grnog-members mailing list