Sommario
Al fine di monitorare e controllare gli utenti sui server, sappiamo che è un'attività molto complessa a causa degli utenti condivisi tra molti altri motivi, come molti modi per eseguire comandi o registri o, a seconda del livello di accesso, è possibile disporre di autorizzazioni in modo che il proprio utente ottiene l'eliminazione che può anche caricare o creare binari e i file modificati o le chiamate modificate non vengono mostrati chiaramente.UN opzione per avere un po' di controllo abbiamo snoopylogger, che sappiamo è incluso in molte distribuzioni, e che è solo una libreria che si occuperà di memorizzare i comandi e l'utente che li esegue tramite syslogd.
Per installare Snoopylogger lo scarichiamo da terminale
wget http://downloads.sourceforge.net/project/snoopylogger/snoopy-1.8.0.tar.gz?r=&ts=1322946864&use_mirror=nchc
Decomprimi il file nella directory che vogliamo
tar xf snoopy-1.8.0.tar.gz
Accediamo alla directory decompressa
cd snoopy-1.8.0
Quindi dovremo configurarlo e modificare alcuni parametri accedendo al file snoopy.h
nano snoopy.h
All'interno del file imposteremo i seguenti parametri
#define SNOOPY_ROOT_ONLY 1 #define SNOOPY_MAX_ARG_LENGTH 12288
./configurare
Quindi compiliamo per installarlo con i seguenti comandi
fai && fai installare
Avviamo il programma con il seguente comando
rendere abilitato
Quindi dobbiamo impostare snoopy per l'esecuzione automatica aggiungendo una nuova riga in /etc/ld.so.preload
Infine, si consiglia di riavviare il sistema operativo e con esso dovrebbe iniziare a funzionare correttamente. I log raccolti verranno salvati nel percorso:
- /var/log/messaggio
- Oppure può essere anche /var/log/auth e /var/log/secure
Per vedere i log che sono stati registrati usiamo il seguente comando
tail /var/log/auth.log
Ad esempio quando si esegue il ls comando Dal terminale con l'utente root, il comando ls per elencare i file genera il seguente record.
6 dic 15:25:12 centos snoopy [13845]: [uid: 0 sid: 13833 tty: / dev / pts / 2 cwd: / nome file root: / bin / ls]: ls
Cos'è Sudosh?Sudosh è uno strumento utilizzato per registrare le sessioni, come se fosse un video, di tutti i comandi che vengono eseguiti nel terminale.
Sudosh è progettato per funzionare su distribuzioni Debian quando un utente richiede i privilegi di amministratore. Una volta eseguito, memorizza i dati in due file di log, in uno i comandi e nell'altro i tempi. Un metodo tradizionale per ignorare il registro dei comandi consiste nell'utilizzare applicazioni che consentono l'esecuzione dei comandi. Ad esempio, viene aperto un nano editor e da lì vengono inserite istruzioni come cat / etc / passwd, per accedere alle chiavi di sistema.
Questa tecnica non è possibile con sudosh, poiché il log mostrerà come viene aperto il nano e come vengono eseguiti i comandi. Per installarlo, viene scaricato e compilato. I file di registro sono archiviati in:
/var/log/sudosh/
Per rivedere i video che sono file di testo convertibili, usa il comando sudosh-replay seguito dall'ID del file, senza quell'argomento verranno elencati tutti i disponibili.
Conclusione finaleQuesti due strumenti ci permetteranno di avere un certo controllo su ciò che i nostri utenti eseguono e quindi di poter avere una gestione più adeguata della sicurezza sul server.Ti è piaciuto e hai aiutato questo Tutorial?Puoi premiare l'autore premendo questo pulsante per dargli un punto positivo
