[grnog] Συστήματα καταγραφής εντολών cli (και όχι μόνο)

[Stefanos Boglou]

Καλησπέρα και από μένα,

αν κάποιος χρησιμοποιεί zsh ή dash?
και εμείς (skroutz) auditd/auditbeat χρησιμοποιούμε

(και κάνει κανονικά log parameters)
type=EXECVE msg=audit(1553704483.906:235994): argc=8 a0="git"
a1="rev-parse" a2="--git-dir" a3="--is-inside-git-dir"
a4="--is-bare-repository" a5="--is-inside-work-tree" a6="--short"
a7="HEAD"
type=EXECVE msg=audit(1553704485.970:235995): argc=1 a0="tail"
type=EXECVE msg=audit(1553704485.970:235996): argc=4 a0="grep"
a1="--color=auto" a2="EXECVE" a3="/var/log/audit/audit.log"

On Wed, 27 Mar 2019 at 16:59, Dimos Alevizos <dalevizo at otenet.gr> wrote:
>
> Καλησπερα,
>
> μπορει να φταιει οτι εγω δεν καταλαβα το documentation αλλα αυτο που με χαλαγε στο auditd ειναι οτι δεν γραφει ακριβως αυτο που ετρεξε ο χρηστης, γραφει μονο το ονομα του binary.
> Τελικα καταληξαμε σε μια εναλλακτικη που ομολογουμενως ειναι πιο τρυπια απο αποψη security και πιο δυσκολο να την συντηρησεις αλλα μας εδινε ακριβως αυτο που θελαμε τοτε.
> Πατσαρισμενο bash που στελνει το history σε syslog :
>
> Mar 11 06:26:39 vm-0 bash: HISTORY: PID=28987 user dalevizo as dalevizo(1001) run: sudo -s
> Mar 11 06:26:45 vm-0 bash: HISTORY: PID=29016 user dalevizo as root(0) run: cd /home/dalevizo/swift/
>
> D.
>
> On 27/3/19 4:11 μ.μ., Dimitris Kalogeras wrote:
> > Καλησπέρα Αντρέα,
> >
> > Στις 2019-03-27 11:55, Polyrakis Andreas έγραψε:
> >> Καλησπέρα,
> >>
> >> Ψάχνω να βρω ενα καλό τρόπο καταγραφής
> >> των ενεργειών που έχουν γίνει σε
> >> κάποιο σύστημα (linux ή δικτυακή συσκευή)
> >> από τους χρήστες. Δηλαδή με ενδιαφέρει
> >> να ξέρω ΠΟΙΟΣ έτρεξε ΤΙ, και ΠΌΤΕ.
> >
> > Για το ποιός έχει να κάνει με το authentication και νομίζω
> > οτι το Radius/tacacs/sshd/pam είναι επαρκή για να έχεις (sys)logging του authentication.
> >
> > ΤΟ τί έτρεξε είναι ποιο περίπλοκο και σίγουρα το tacacs είναι επαρκες (από το τελευταίο Α του AAA) το radius λιγότερο..
> > (δεν έχει accounting για το exec). Σε περιβάλλον  φλοιού είναι πιο περίπολο και μάλλον θέλεις να το κάνεις καλύτερα
> > σε επίπεδο kernel (execv/spawn) με το audit subsystem στο linux π.χ
> >
> > auditctl -a exit,always -F arch=b64 -F euid=0 -S execve -k root-commands Και ausearch -k root-commands.
> >
> > Χαιρετισμούς,
> > Δημήτρης
> >
> > (σε αυτά τα πλαίσια το https://fabianlee.org/2018/12/02/ubuntu-auditing-sudo-commands-and-forwarding-audit-logs-using-syslog
> > για αποθήκευση σε remote syslog)
> >
> >>
> >> Αντιλαμβάνομαι πως οι δύο κόσμοι
> >> είναι διαφορετικοί οπότε μου κάνουν
> >> και απαντήσεις που αφορούν την μια από
> >> τις δύο περιπτώσεις.
> >>
> >> Με ενδιαφέρουν όλοι οι δυνατοί τρόποι
> >> (πχ καταγραφή στην μεριά του
> >> διαχειριστή, στην μεριά του server, από
> >> ενδιάμεσο κουτί που θα
> >> χρησιμοποιείται), αρκεί ο τρόπος να
> >> είναι εύχρηστος και όσο το δυνατό
> >> περισσότερο γενικός - και όχι το
> >> .bash_history δεν μου αρκεί. Ο κύριος σκοπός
> >> δεν είναι η παρακολούθηση κάποιου που
> >> κακόβουλα θα θέλει να κρύψει τα ίχνη
> >> του (δηλαδή μπορώ να δεχτω ότι ο root θα
> >> μπορεί να σβήσει τα ίχνη του, ή ότι σε
> >> ορισμένες περιπτώσεις,, πχ πρόσβαση
> >> μέσω console κλπ η κατγραφή δεν θα
> >> δουλεύει).
> >>
> >> Ιδανικά θα ήθελα κάτι που να μην
> >> παρακολουθεί μόνο το ssh αλλά και
> >> άλλους τρόπους αλληλεπίδρασης με ένα
> >> σύστημα (πχ netconf, APIs, ...)
> >>
> > Αυτό δεν θα μπορούσε να γίνει επειδή το παραπάνω API δεν χειρίζεται το authentication kai
> > accounting
> >
> >
> >> Ιδέες και εμπειρίες ευπρόσδεκτες.
> >>
> >> Ευχαριστώ προκαταβολικά,
> >>
> >> Ανδρέας
> >
>
>


-- 
VFXCode