URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 5421
[ Назад ]

Исходное сообщение
"Фиксация действий в консоли"

Отправлено Dark Smoke , 21-Апр-17 12:58 
Добрый день
Кто от имеет опыт с какими-то системами которые полностью фиксируют действи администратора в консоли (мс). Полный лог действий.
Причем учесть что парк машин около 500 шт.

Содержание

Сообщения в этом обсуждении
"Фиксация действий в консоли"
Отправлено pavlinux , 21-Апр-17 15:23 
> Добрый день
> Кто от имеет опыт с какими-то системами которые полностью фиксируют действи администратора
> в консоли (мс). Полный лог действий.
> Причем учесть что парк машин около 500 шт.

1. Стандартно, почти никак. Чайники не в теме, а хацкеры все равно наипут и shell и мс (не расскажу).

2. Трахаться c Linux Security Modules и прочими системами хуков на syscallы.

3. Хардкор вариант - перекопмилить mc, {ba,z,c,tc}sh с логированием всех действий.


"Фиксация действий в консоли"
Отправлено pavlinux , 21-Апр-17 15:33 
4. Самое главное - наcpaть, настроить квоты/лимиты и ограничить область действия на запись домашним каталогом.


От том как притащить бинарник через текстовый буфер, выдрать подпись ELF и
приклеить её к своему бинарнику, мы расскажем в следующей передаче.


"Фиксация действий в консоли"
Отправлено pavel , 23-Апр-17 07:28 
> 4. Самое главное - наcpaть, настроить квоты/лимиты и ограничить область действия на
> запись домашним каталогом.
> От том как притащить бинарник через текстовый буфер, выдрать подпись ELF и
> приклеить её к своему бинарнику, мы расскажем в следующей передаче.

Много лет назад еще обсуждали, как компилятор из системы убрать,что бы зло-умышленик не смог собрать руткит. Ха ха ха.


"Фиксация действий в консоли"
Отправлено universite , 23-Апр-17 14:50 

> Много лет назад еще обсуждали, как компилятор из системы убрать,что бы зло-умышленик
> не смог собрать руткит. Ха ха ха.

Это не мешает перенести бинарник компиллятора с скомпиллированными либами.


"Фиксация действий в консоли"
Отправлено pavlinux , 25-Апр-17 03:24 
> Много лет назад еще обсуждали, как компилятор из системы убрать,что бы зло-умышленик
> не смог собрать руткит. Ха ха ха.

У меня где-то было указанно про компиляцияю? Гы-гы-гы.


"Фиксация действий в консоли"
Отправлено Аноним , 12-Май-19 13:45 
Открываем учебник на разделе "выполнение по доверительному пути" (Trusted path ecxecution (TPE))

Алгоритм: ядро перед запуском программы проверяет её права:
1. находится ли прога в каталоге доступном на запись только root?
2. может ли кто кроме root её изменять?
И на основе этой простой проверки отказывает в запуске всему что накомпилял или накачал с инетов Вася.

Технология дешовая никаких дополнительных настроек или написания правил допуска не требует.


"Фиксация действий в консоли"
Отправлено ziplex , 06-Сен-17 12:57 
Есть такая утилита script - позволяет записывать все действия в файл,  запихать ее в
login/logout скрипты соотв. шелла. например для bash это будет ~/.bash_profile, ~/.bashrc и ~/.bash_logout.
но как уже выразились компетентные люди от продвинутых пользователей это не спасет.



"Фиксация действий в консоли"
Отправлено ziplex , 06-Сен-17 13:00 
Еще помимо script есть auditd, тоже вариант.

"Фиксация действий в консоли"
Отправлено ziplex , 06-Сен-17 13:32 
Для того чтобы включить ведение логов пользователя root через связку auditd и pam нужно добавить в файл /etc/pam.d/system-auth-ac строку.
session required pam_tty_audit.so disable=* enable=root

Лог будет вестись в /var/log/audit/audit.log Для просмотра логов можно использовать команду aureport --tty -ts todayПараметры ключа -ts следующие: now, recent, today, yesterday, this-week, week-ago, this-month, this-yearлистинг команды aureport --tty -ts today

Данный способ фиксирует все нажатия пользователя на клавиатуре, что приводит к образованию небольшого мусора в в отчете. В частности при использовании midnight commander.Также следует учесть что данный метод не фиксирует команды выбранные из истории шелла.

Данный момент следует учитывать при использовании данного метода. Но при всем этом данный способ ведет лог всей консоли.


"Фиксация действий в консоли"
Отправлено ziplex , 06-Сен-17 13:38 
Да еще забыл добавить что логи можно централизованно хранить.
Для этого используется плагин audisp-remote. Он входит в пакет audisp-plugins, нужно устанавливать дополнительно.

Еще как вариант подменять шел, давно как-то такое делал, собирал свой bash,  году в 2001, но зачем изобретать велик, есть готовые решения, хотя на питоне можно обертку написать для баш, вариантов короче много.


"Фиксация действий в консоли"
Отправлено Kos , 16-Ноя-17 11:36 
софтина Rootsh, с ней все простосто
посложнее - auditD

>Да еще забыл добавить что логи можно централизованно хранить.

нужно. и дело не только в том что они центализованны,
а в том что логи на хосте в скоуп-зоне, куда ни у кого нет доступа.


"Фиксация действий в консоли"
Отправлено ratchet , 26-Окт-18 20:51 
> Добрый день
> Кто от имеет опыт с какими-то системами которые полностью фиксируют действи администратора
> в консоли (мс). Полный лог действий.
> Причем учесть что парк машин около 500 шт.

Кастомный бинарник bash - это то что я видел на практике (в одной компании на G такое было). Для этого понадобится программист на C. Который еще и поддерживать это будет (и делать бэкпорты security-фиксов).

Другой вариант для бедняков - запихать все admin-задачи в свои кастомные скрипты и уже от них плясать (не выдавая полного доступа к shell). Но это тоже не идеально т.к. нужен хороший bash-guru что пишет скрипты без уязвисмостей.


"Фиксация действий в консоли"
Отправлено Andrey Mitrofanov , 12-Ноя-18 10:47 
>> Причем учесть что парк машин около 500 шт.
> Кастомный бинарник bash - это то что я видел на практике (в
> одной компании на G такое было). Для этого понадобится программист на
> C. Который еще и поддерживать это будет (и делать бэкпорты security-фиксов).

Скорее админ на поддержку пересобранного пакета, там 1 #define

   http://www.opennet.ru/openforum/vsluhforumID9/10045.html#2

включить, и воля безопасников и начальства поддерживать это "кнутом, кушая пряник".


"Фиксация действий в консоли"
Отправлено Аноним , 12-Май-19 13:29 
Есть система мониторинга и управления сетью NOC. Она рассчитана для профессионалов. Кроме всего прочего есть возможность вести лог команд вводимых на активном сетевом оборудовании и компьютерах.

Вот пример для GNU/Linux: https://kb.nocproject.org/plugins/servlet/mobile?contentId=2...