The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Фиксация действий в консоли"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Информационная безопасность (Безопасность системы / Linux)
Изначальное сообщение [ Отслеживать ]

"Фиксация действий в консоли"  –2 +/
Сообщение от Dark Smoke (ok), 21-Апр-17, 12:58 
Добрый день
Кто от имеет опыт с какими-то системами которые полностью фиксируют действи администратора в консоли (мс). Полный лог действий.
Причем учесть что парк машин около 500 шт.
Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


5. "Фиксация действий в консоли"  –1 +/
Сообщение от pavlinux (ok), 21-Апр-17, 15:23 
> Добрый день
> Кто от имеет опыт с какими-то системами которые полностью фиксируют действи администратора
> в консоли (мс). Полный лог действий.
> Причем учесть что парк машин около 500 шт.

1. Стандартно, почти никак. Чайники не в теме, а хацкеры все равно наипут и shell и мс (не расскажу).

2. Трахаться c Linux Security Modules и прочими системами хуков на syscallы.

3. Хардкор вариант - перекопмилить mc, {ba,z,c,tc}sh с логированием всех действий.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Фиксация действий в консоли"  +1 +/
Сообщение от pavlinux (ok), 21-Апр-17, 15:33 
4. Самое главное - наcpaть, настроить квоты/лимиты и ограничить область действия на запись домашним каталогом.


От том как притащить бинарник через текстовый буфер, выдрать подпись ELF и
приклеить её к своему бинарнику, мы расскажем в следующей передаче.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Фиксация действий в консоли"  –1 +/
Сообщение от pavel (??), 23-Апр-17, 07:28 
> 4. Самое главное - наcpaть, настроить квоты/лимиты и ограничить область действия на
> запись домашним каталогом.
> От том как притащить бинарник через текстовый буфер, выдрать подпись ELF и
> приклеить её к своему бинарнику, мы расскажем в следующей передаче.

Много лет назад еще обсуждали, как компилятор из системы убрать,что бы зло-умышленик не смог собрать руткит. Ха ха ха.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Фиксация действий в консоли"  +/
Сообщение от universite (ok), 23-Апр-17, 14:50 

> Много лет назад еще обсуждали, как компилятор из системы убрать,что бы зло-умышленик
> не смог собрать руткит. Ха ха ха.

Это не мешает перенести бинарник компиллятора с скомпиллированными либами.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Фиксация действий в консоли"  +1 +/
Сообщение от pavlinux (ok), 25-Апр-17, 03:24 
> Много лет назад еще обсуждали, как компилятор из системы убрать,что бы зло-умышленик
> не смог собрать руткит. Ха ха ха.

У меня где-то было указанно про компиляцияю? Гы-гы-гы.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "Фиксация действий в консоли"  –1 +/
Сообщение от ziplex (?), 06-Сен-17, 12:57 
Есть такая утилита script - позволяет записывать все действия в файл,  запихать ее в
login/logout скрипты соотв. шелла. например для bash это будет ~/.bash_profile, ~/.bashrc и ~/.bash_logout.
но как уже выразились компетентные люди от продвинутых пользователей это не спасет.


Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Фиксация действий в консоли"  –1 +/
Сообщение от ziplex (?), 06-Сен-17, 13:00 
Еще помимо script есть auditd, тоже вариант.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Фиксация действий в консоли"  –1 +/
Сообщение от ziplex (?), 06-Сен-17, 13:32 
Для того чтобы включить ведение логов пользователя root через связку auditd и pam нужно добавить в файл /etc/pam.d/system-auth-ac строку.
session required pam_tty_audit.so disable=* enable=root

Лог будет вестись в /var/log/audit/audit.log Для просмотра логов можно использовать команду aureport --tty -ts todayПараметры ключа -ts следующие: now, recent, today, yesterday, this-week, week-ago, this-month, this-yearлистинг команды aureport --tty -ts today

Данный способ фиксирует все нажатия пользователя на клавиатуре, что приводит к образованию небольшого мусора в в отчете. В частности при использовании midnight commander.Также следует учесть что данный метод не фиксирует команды выбранные из истории шелла.

Данный момент следует учитывать при использовании данного метода. Но при всем этом данный способ ведет лог всей консоли.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Фиксация действий в консоли"  –1 +/
Сообщение от ziplex (?), 06-Сен-17, 13:38 
Да еще забыл добавить что логи можно централизованно хранить.
Для этого используется плагин audisp-remote. Он входит в пакет audisp-plugins, нужно устанавливать дополнительно.

Еще как вариант подменять шел, давно как-то такое делал, собирал свой bash,  году в 2001, но зачем изобретать велик, есть готовые решения, хотя на питоне можно обертку написать для баш, вариантов короче много.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Фиксация действий в консоли"  +/
Сообщение от Kos (??), 16-Ноя-17, 11:36 
софтина Rootsh, с ней все простосто
посложнее - auditD

>Да еще забыл добавить что логи можно централизованно хранить.

нужно. и дело не только в том что они центализованны,
а в том что логи на хосте в скоуп-зоне, куда ни у кого нет доступа.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "Фиксация действий в консоли"  +/
Сообщение от ratchet (ok), 26-Окт-18, 20:51 
> Добрый день
> Кто от имеет опыт с какими-то системами которые полностью фиксируют действи администратора
> в консоли (мс). Полный лог действий.
> Причем учесть что парк машин около 500 шт.

Кастомный бинарник bash - это то что я видел на практике (в одной компании на G такое было). Для этого понадобится программист на C. Который еще и поддерживать это будет (и делать бэкпорты security-фиксов).

Другой вариант для бедняков - запихать все admin-задачи в свои кастомные скрипты и уже от них плясать (не выдавая полного доступа к shell). Но это тоже не идеально т.к. нужен хороший bash-guru что пишет скрипты без уязвисмостей.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Фиксация действий в консоли"  +/
Сообщение от Andrey Mitrofanov (?), 12-Ноя-18, 10:47 
>> Причем учесть что парк машин около 500 шт.
> Кастомный бинарник bash - это то что я видел на практике (в
> одной компании на G такое было). Для этого понадобится программист на
> C. Который еще и поддерживать это будет (и делать бэкпорты security-фиксов).

Скорее админ на поддержку пересобранного пакета, там 1 #define

   http://www.opennet.ru/openforum/vsluhforumID9/10045.html#2

включить, и воля безопасников и начальства поддерживать это "кнутом, кушая пряник".

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2019 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor