The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Фиксация действий в консоли"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Информационная безопасность (Безопасность системы / Linux)
Изначальное сообщение [ Отслеживать ]

"Фиксация действий в консоли"  –2 +/
Сообщение от Dark Smoke (ok), 21-Апр-17, 12:58 
Добрый день
Кто от имеет опыт с какими-то системами которые полностью фиксируют действи администратора в консоли (мс). Полный лог действий.
Причем учесть что парк машин около 500 шт.
Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


5. "Фиксация действий в консоли"  –1 +/
Сообщение от pavlinux (ok), 21-Апр-17, 15:23 
> Добрый день
> Кто от имеет опыт с какими-то системами которые полностью фиксируют действи администратора
> в консоли (мс). Полный лог действий.
> Причем учесть что парк машин около 500 шт.

1. Стандартно, почти никак. Чайники не в теме, а хацкеры все равно наипут и shell и мс (не расскажу).

2. Трахаться c Linux Security Modules и прочими системами хуков на syscallы.

3. Хардкор вариант - перекопмилить mc, {ba,z,c,tc}sh с логированием всех действий.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Фиксация действий в консоли"  +1 +/
Сообщение от pavlinux (ok), 21-Апр-17, 15:33 
4. Самое главное - наcpaть, настроить квоты/лимиты и ограничить область действия на запись домашним каталогом.


От том как притащить бинарник через текстовый буфер, выдрать подпись ELF и
приклеить её к своему бинарнику, мы расскажем в следующей передаче.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Фиксация действий в консоли"  –1 +/
Сообщение от pavel (??), 23-Апр-17, 07:28 
> 4. Самое главное - наcpaть, настроить квоты/лимиты и ограничить область действия на
> запись домашним каталогом.
> От том как притащить бинарник через текстовый буфер, выдрать подпись ELF и
> приклеить её к своему бинарнику, мы расскажем в следующей передаче.

Много лет назад еще обсуждали, как компилятор из системы убрать,что бы зло-умышленик не смог собрать руткит. Ха ха ха.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Фиксация действий в консоли"  +/
Сообщение от universite (ok), 23-Апр-17, 14:50 

> Много лет назад еще обсуждали, как компилятор из системы убрать,что бы зло-умышленик
> не смог собрать руткит. Ха ха ха.

Это не мешает перенести бинарник компиллятора с скомпиллированными либами.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Фиксация действий в консоли"  +1 +/
Сообщение от pavlinux (ok), 25-Апр-17, 03:24 
> Много лет назад еще обсуждали, как компилятор из системы убрать,что бы зло-умышленик
> не смог собрать руткит. Ха ха ха.

У меня где-то было указанно про компиляцияю? Гы-гы-гы.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

19. "Фиксация действий в консоли"  +/
Сообщение от Аноним (19), 12-Май-19, 13:45 
Открываем учебник на разделе "выполнение по доверительному пути" (Trusted path ecxecution (TPE))

Алгоритм: ядро перед запуском программы проверяет её права:
1. находится ли прога в каталоге доступном на запись только root?
2. может ли кто кроме root её изменять?
И на основе этой простой проверки отказывает в запуске всему что накомпилял или накачал с инетов Вася.

Технология дешовая никаких дополнительных настроек или написания правил допуска не требует.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

10. "Фиксация действий в консоли"  –1 +/
Сообщение от ziplex (?), 06-Сен-17, 12:57 
Есть такая утилита script - позволяет записывать все действия в файл,  запихать ее в
login/logout скрипты соотв. шелла. например для bash это будет ~/.bash_profile, ~/.bashrc и ~/.bash_logout.
но как уже выразились компетентные люди от продвинутых пользователей это не спасет.


Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Фиксация действий в консоли"  –1 +/
Сообщение от ziplex (?), 06-Сен-17, 13:00 
Еще помимо script есть auditd, тоже вариант.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Фиксация действий в консоли"  –1 +/
Сообщение от ziplex (?), 06-Сен-17, 13:32 
Для того чтобы включить ведение логов пользователя root через связку auditd и pam нужно добавить в файл /etc/pam.d/system-auth-ac строку.
session required pam_tty_audit.so disable=* enable=root

Лог будет вестись в /var/log/audit/audit.log Для просмотра логов можно использовать команду aureport --tty -ts todayПараметры ключа -ts следующие: now, recent, today, yesterday, this-week, week-ago, this-month, this-yearлистинг команды aureport --tty -ts today

Данный способ фиксирует все нажатия пользователя на клавиатуре, что приводит к образованию небольшого мусора в в отчете. В частности при использовании midnight commander.Также следует учесть что данный метод не фиксирует команды выбранные из истории шелла.

Данный момент следует учитывать при использовании данного метода. Но при всем этом данный способ ведет лог всей консоли.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Фиксация действий в консоли"  –1 +/
Сообщение от ziplex (?), 06-Сен-17, 13:38 
Да еще забыл добавить что логи можно централизованно хранить.
Для этого используется плагин audisp-remote. Он входит в пакет audisp-plugins, нужно устанавливать дополнительно.

Еще как вариант подменять шел, давно как-то такое делал, собирал свой bash,  году в 2001, но зачем изобретать велик, есть готовые решения, хотя на питоне можно обертку написать для баш, вариантов короче много.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Фиксация действий в консоли"  +/
Сообщение от Kos (??), 16-Ноя-17, 11:36 
софтина Rootsh, с ней все простосто
посложнее - auditD

>Да еще забыл добавить что логи можно централизованно хранить.

нужно. и дело не только в том что они центализованны,
а в том что логи на хосте в скоуп-зоне, куда ни у кого нет доступа.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "Фиксация действий в консоли"  +/
Сообщение от ratchet (ok), 26-Окт-18, 20:51 
> Добрый день
> Кто от имеет опыт с какими-то системами которые полностью фиксируют действи администратора
> в консоли (мс). Полный лог действий.
> Причем учесть что парк машин около 500 шт.

Кастомный бинарник bash - это то что я видел на практике (в одной компании на G такое было). Для этого понадобится программист на C. Который еще и поддерживать это будет (и делать бэкпорты security-фиксов).

Другой вариант для бедняков - запихать все admin-задачи в свои кастомные скрипты и уже от них плясать (не выдавая полного доступа к shell). Но это тоже не идеально т.к. нужен хороший bash-guru что пишет скрипты без уязвисмостей.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Фиксация действий в консоли"  +/
Сообщение от Andrey Mitrofanov (?), 12-Ноя-18, 10:47 
>> Причем учесть что парк машин около 500 шт.
> Кастомный бинарник bash - это то что я видел на практике (в
> одной компании на G такое было). Для этого понадобится программист на
> C. Который еще и поддерживать это будет (и делать бэкпорты security-фиксов).

Скорее админ на поддержку пересобранного пакета, там 1 #define

   https://www.opennet.ru/openforum/vsluhforumID9/10045.html#2

включить, и воля безопасников и начальства поддерживать это "кнутом, кушая пряник".

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

18. "Фиксация действий в консоли"  +/
Сообщение от Аноним (19), 12-Май-19, 13:29 
Есть система мониторинга и управления сетью NOC. Она рассчитана для профессионалов. Кроме всего прочего есть возможность вести лог команд вводимых на активном сетевом оборудовании и компьютерах.

Вот пример для GNU/Linux: https://kb.nocproject.org/plugins/servlet/mobile?contentId=2...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру