[grnog] Συστήματα καταγραφής εντολών cli (και όχι μόνο)

Dimos Alevizos dalevizo at otenet.gr
Wed Mar 27 15:59:17 CET 2019 

Καλησπερα,

μπορει να φταιει οτι εγω δεν καταλαβα το documentation αλλα αυτο που με χαλαγε στο auditd ειναι οτι δεν γραφει ακριβως αυτο που ετρεξε ο χρηστης, γραφει μονο το ονομα του binary.
Τελικα καταληξαμε σε μια εναλλακτικη που ομολογουμενως ειναι πιο τρυπια απο αποψη security και πιο δυσκολο να την συντηρησεις αλλα μας εδινε ακριβως αυτο που θελαμε τοτε.
Πατσαρισμενο bash που στελνει το history σε syslog :

Mar 11 06:26:39 vm-0 bash: HISTORY: PID=28987 user dalevizo as dalevizo(1001) run: sudo -s
Mar 11 06:26:45 vm-0 bash: HISTORY: PID=29016 user dalevizo as root(0) run: cd /home/dalevizo/swift/

D.

On 27/3/19 4:11 μ.μ., Dimitris Kalogeras wrote:
> Καλησπέρα Αντρέα,
>
> Στις 2019-03-27 11:55, Polyrakis Andreas έγραψε:
>> Καλησπέρα,
>>
>> Ψάχνω να βρω ενα καλό τρόπο καταγραφής
>> των ενεργειών που έχουν γίνει σε
>> κάποιο σύστημα (linux ή δικτυακή συσκευή)
>> από τους χρήστες. Δηλαδή με ενδιαφέρει
>> να ξέρω ΠΟΙΟΣ έτρεξε ΤΙ, και ΠΌΤΕ.
>
> Για το ποιός έχει να κάνει με το authentication και νομίζω
> οτι το Radius/tacacs/sshd/pam είναι επαρκή για να έχεις (sys)logging του authentication.
>
> ΤΟ τί έτρεξε είναι ποιο περίπλοκο και σίγουρα το tacacs είναι επαρκες (από το τελευταίο Α του AAA) το radius λιγότερο..
> (δεν έχει accounting για το exec). Σε περιβάλλον  φλοιού είναι πιο περίπολο και μάλλον θέλεις να το κάνεις καλύτερα
> σε επίπεδο kernel (execv/spawn) με το audit subsystem στο linux π.χ
>
> auditctl -a exit,always -F arch=b64 -F euid=0 -S execve -k root-commands Και ausearch -k root-commands.
>
> Χαιρετισμούς,
> Δημήτρης
>
> (σε αυτά τα πλαίσια το https://fabianlee.org/2018/12/02/ubuntu-auditing-sudo-commands-and-forwarding-audit-logs-using-syslog
> για αποθήκευση σε remote syslog)
>
>>
>> Αντιλαμβάνομαι πως οι δύο κόσμοι
>> είναι διαφορετικοί οπότε μου κάνουν
>> και απαντήσεις που αφορούν την μια από
>> τις δύο περιπτώσεις.
>>
>> Με ενδιαφέρουν όλοι οι δυνατοί τρόποι
>> (πχ καταγραφή στην μεριά του
>> διαχειριστή, στην μεριά του server, από
>> ενδιάμεσο κουτί που θα
>> χρησιμοποιείται), αρκεί ο τρόπος να
>> είναι εύχρηστος και όσο το δυνατό
>> περισσότερο γενικός - και όχι το
>> .bash_history δεν μου αρκεί. Ο κύριος σκοπός
>> δεν είναι η παρακολούθηση κάποιου που
>> κακόβουλα θα θέλει να κρύψει τα ίχνη
>> του (δηλαδή μπορώ να δεχτω ότι ο root θα
>> μπορεί να σβήσει τα ίχνη του, ή ότι σε
>> ορισμένες περιπτώσεις,, πχ πρόσβαση
>> μέσω console κλπ η κατγραφή δεν θα
>> δουλεύει).
>>
>> Ιδανικά θα ήθελα κάτι που να μην
>> παρακολουθεί μόνο το ssh αλλά και
>> άλλους τρόπους αλληλεπίδρασης με ένα
>> σύστημα (πχ netconf, APIs, ...)
>>
> Αυτό δεν θα μπορούσε να γίνει επειδή το παραπάνω API δεν χειρίζεται το authentication kai
> accounting
>
>
>> Ιδέες και εμπειρίες ευπρόσδεκτες.
>>
>> Ευχαριστώ προκαταβολικά,
>>
>> Ανδρέας
>

More information about the grnog-members mailing list