- 1 Стандартно, почти никак Чайники не в теме, а хацкеры все равно наипут и shel, pavlinux (ok), 15:23 , 21-Апр-17 (5) –1
> Добрый день > Кто от имеет опыт с какими-то системами которые полностью фиксируют действи администратора > в консоли (мс). Полный лог действий. > Причем учесть что парк машин около 500 шт.1. Стандартно, почти никак. Чайники не в теме, а хацкеры все равно наипут и shell и мс (не расскажу). 2. Трахаться c Linux Security Modules и прочими системами хуков на syscallы. 3. Хардкор вариант - перекопмилить mc, {ba,z,c,tc}sh с логированием всех действий.
- Есть такая утилита script - позволяет записывать все действия в файл, запихать , ziplex (?), 12:57 , 06-Сен-17 (10) –1
Есть такая утилита script - позволяет записывать все действия в файл, запихать ее в login/logout скрипты соотв. шелла. например для bash это будет ~/.bash_profile, ~/.bashrc и ~/.bash_logout. но как уже выразились компетентные люди от продвинутых пользователей это не спасет.
- Еще помимо script есть auditd, тоже вариант , ziplex (?), 13:00 , 06-Сен-17 (11) –1
Еще помимо script есть auditd, тоже вариант.
- Для того чтобы включить ведение логов пользователя root через связку auditd и pa, ziplex (?), 13:32 , 06-Сен-17 (12) –1
Для того чтобы включить ведение логов пользователя root через связку auditd и pam нужно добавить в файл /etc/pam.d/system-auth-ac строку. session required pam_tty_audit.so disable=* enable=rootЛог будет вестись в /var/log/audit/audit.log Для просмотра логов можно использовать команду aureport --tty -ts todayПараметры ключа -ts следующие: now, recent, today, yesterday, this-week, week-ago, this-month, this-yearлистинг команды aureport --tty -ts today Данный способ фиксирует все нажатия пользователя на клавиатуре, что приводит к образованию небольшого мусора в в отчете. В частности при использовании midnight commander.Также следует учесть что данный метод не фиксирует команды выбранные из истории шелла. Данный момент следует учитывать при использовании данного метода. Но при всем этом данный способ ведет лог всей консоли. - Да еще забыл добавить что логи можно централизованно хранить Для этого используе, ziplex (?), 13:38 , 06-Сен-17 (13) –1
Да еще забыл добавить что логи можно централизованно хранить. Для этого используется плагин audisp-remote. Он входит в пакет audisp-plugins, нужно устанавливать дополнительно.Еще как вариант подменять шел, давно как-то такое делал, собирал свой bash, году в 2001, но зачем изобретать велик, есть готовые решения, хотя на питоне можно обертку написать для баш, вариантов короче много.
- Кастомный бинарник bash - это то что я видел на практике в одной компании на G , ratchet (ok), 20:51 , 26-Окт-18 (15)
> Добрый день > Кто от имеет опыт с какими-то системами которые полностью фиксируют действи администратора > в консоли (мс). Полный лог действий. > Причем учесть что парк машин около 500 шт.Кастомный бинарник bash - это то что я видел на практике (в одной компании на G такое было). Для этого понадобится программист на C. Который еще и поддерживать это будет (и делать бэкпорты security-фиксов). Другой вариант для бедняков - запихать все admin-задачи в свои кастомные скрипты и уже от них плясать (не выдавая полного доступа к shell). Но это тоже не идеально т.к. нужен хороший bash-guru что пишет скрипты без уязвисмостей.
- Есть система мониторинга и управления сетью NOC Она рассчитана для профессионал, Аноним (19), 13:29 , 12-Май-19 (18)
|