[grnog] Συστήματα καταγραφής εντολών cli (και όχι μόνο)

Wed Mar 27 18:54:50 CET 2019

Υπάρχει και το snoopy: https://github.com/a2o/snoopy

Στις Τετ, 27 Μαρ 2019 στις 4:59 μ.μ., ο/η Dimos Alevizos <dalevizo at otenet.gr>
έγραψε:

> Καλησπερα,
>
> μπορει να φταιει οτι εγω δεν καταλαβα το documentation αλλα αυτο που με
> χαλαγε στο auditd ειναι οτι δεν γραφει ακριβως αυτο που ετρεξε ο χρηστης,
> γραφει μονο το ονομα του binary.
> Τελικα καταληξαμε σε μια εναλλακτικη που ομολογουμενως ειναι πιο τρυπια
> απο αποψη security και πιο δυσκολο να την συντηρησεις αλλα μας εδινε
> ακριβως αυτο που θελαμε τοτε.
> Πατσαρισμενο bash που στελνει το history σε syslog :
>
> Mar 11 06:26:39 vm-0 bash: HISTORY: PID=28987 user dalevizo as
> dalevizo(1001) run: sudo -s
> Mar 11 06:26:45 vm-0 bash: HISTORY: PID=29016 user dalevizo as root(0)
> run: cd /home/dalevizo/swift/
>
> D.
>
> On 27/3/19 4:11 μ.μ., Dimitris Kalogeras wrote:
> > Καλησπέρα Αντρέα,
> >
> > Στις 2019-03-27 11:55, Polyrakis Andreas έγραψε:
> >> Καλησπέρα,
> >>
> >> Ψάχνω να βρω ενα καλό τρόπο καταγραφής
> >> των ενεργειών που έχουν γίνει σε
> >> κάποιο σύστημα (linux ή δικτυακή συσκευή)
> >> από τους χρήστες. Δηλαδή με ενδιαφέρει
> >> να ξέρω ΠΟΙΟΣ έτρεξε ΤΙ, και ΠΌΤΕ.
> >
> > Για το ποιός έχει να κάνει με το authentication και νομίζω
> > οτι το Radius/tacacs/sshd/pam είναι επαρκή για να έχεις (sys)logging του
> authentication.
> >
> > ΤΟ τί έτρεξε είναι ποιο περίπλοκο και σίγουρα το tacacs είναι επαρκες
> (από το τελευταίο Α του AAA) το radius λιγότερο..
> > (δεν έχει accounting για το exec). Σε περιβάλλον  φλοιού είναι πιο
> περίπολο και μάλλον θέλεις να το κάνεις καλύτερα
> > σε επίπεδο kernel (execv/spawn) με το audit subsystem στο linux π.χ
> >
> > auditctl -a exit,always -F arch=b64 -F euid=0 -S execve -k root-commands
> Και ausearch -k root-commands.
> >
> > Χαιρετισμούς,
> > Δημήτρης
> >
> > (σε αυτά τα πλαίσια το
> https://fabianlee.org/2018/12/02/ubuntu-auditing-sudo-commands-and-forwarding-audit-logs-using-syslog
> > για αποθήκευση σε remote syslog)
> >
> >>
> >> Αντιλαμβάνομαι πως οι δύο κόσμοι
> >> είναι διαφορετικοί οπότε μου κάνουν
> >> και απαντήσεις που αφορούν την μια από
> >> τις δύο περιπτώσεις.
> >>
> >> Με ενδιαφέρουν όλοι οι δυνατοί τρόποι
> >> (πχ καταγραφή στην μεριά του
> >> διαχειριστή, στην μεριά του server, από
> >> ενδιάμεσο κουτί που θα
> >> χρησιμοποιείται), αρκεί ο τρόπος να
> >> είναι εύχρηστος και όσο το δυνατό
> >> περισσότερο γενικός - και όχι το
> >> .bash_history δεν μου αρκεί. Ο κύριος σκοπός
> >> δεν είναι η παρακολούθηση κάποιου που
> >> κακόβουλα θα θέλει να κρύψει τα ίχνη
> >> του (δηλαδή μπορώ να δεχτω ότι ο root θα
> >> μπορεί να σβήσει τα ίχνη του, ή ότι σε
> >> ορισμένες περιπτώσεις,, πχ πρόσβαση
> >> μέσω console κλπ η κατγραφή δεν θα
> >> δουλεύει).
> >>
> >> Ιδανικά θα ήθελα κάτι που να μην
> >> παρακολουθεί μόνο το ssh αλλά και
> >> άλλους τρόπους αλληλεπίδρασης με ένα
> >> σύστημα (πχ netconf, APIs, ...)
> >>
> > Αυτό δεν θα μπορούσε να γίνει επειδή το παραπάνω API δεν χειρίζεται το
> authentication kai
> > accounting
> >
> >
> >> Ιδέες και εμπειρίες ευπρόσδεκτες.
> >>
> >> Ευχαριστώ προκαταβολικά,
> >>
> >> Ανδρέας
> >
>
>
>

-- 
Nikos Kokkalis
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://nogalliance.org/pipermail/grnog-members/attachments/20190327/cd55c605/attachment.html>