Inhoudsopgave
Om gebruikers op servers te bewaken en te controleren, weten we dat het een zeer complexe taak is vanwege gedeelde gebruikers en vele andere redenen, zoals vele manieren om opdrachten of logs uit te voeren of, afhankelijk van het toegangsniveau, kunt u machtigingen hebben zodat de eigen gebruiker wordt verwijderd die zelfs binaire bestanden kan uploaden of maken en de gewijzigde bestanden of gewijzigde oproepen worden niet duidelijk weergegeven.EEN optie om een beetje controle te hebben we hebben snoopylogger, waarvan we weten dat het in veel distributies is opgenomen, en dat het alleen een bibliotheek is die verantwoordelijk is voor het opslaan van de opdrachten en de gebruiker die ze uitvoert via syslogd.
Om Snoopylogger te installeren, downloaden we het van de terminal
wget http://downloads.sourceforge.net/project/snoopylogger/snoopy-1.8.0.tar.gz?r=&ts=1322946864&use_mirror=nchc
Pak het bestand uit in de map die we willen
tar xf snoopy-1.8.0.tar.gz
We hebben toegang tot de uitgepakte map
cd snoopy-1.8.0
Daarna moeten we het configureren en enkele parameters wijzigen door het snoopy.h-bestand te openen
nano snoopy.h
In het bestand zullen we de volgende parameters instellen:
#define SNOOPY_ROOT_ONLY 1 #define SNOOPY_MAX_ARG_LENGTH 12288
./configureren
Vervolgens compileren we om het te installeren met de volgende opdrachten:
maak && maak installeren
We starten het programma met het volgende commando:
inschakelen
Dan moeten we snoopy zo instellen dat het automatisch wordt uitgevoerd door een nieuwe regel toe te voegen /etc/ld.so.preload
Ten slotte wordt aanbevolen om het besturingssysteem opnieuw op te starten en daarmee zou het correct moeten gaan werken. De logs die worden verzameld, worden opgeslagen in de route:
- / var / log / bericht
- Of het kan ook zijn / var / log / auth en / var / log / secure
Om de logs te zien die zijn geregistreerd, gebruiken we de volgende opdracht:
staart /var/log/auth.log
Bijvoorbeeld bij het uitvoeren van de ls commando Vanaf de terminal met de rootgebruiker genereert het ls-commando om bestanden weer te geven het volgende record.
6 december 15:25:12 centos snoopy [13845]: [uid: 0 sid: 13833 tty: / dev / pts / 2 cwd: / root bestandsnaam: / bin / ls]: ls
Wat is Sudosh?Sudosh is een tool die wordt gebruikt om sessies op te nemen, alsof het een video is, van alle opdrachten die in de terminal worden uitgevoerd.
Sudosh is ontworpen om op Debian-distributies te draaien wanneer een gebruiker beheerdersrechten nodig heeft. Als het eenmaal is uitgevoerd, slaat het de gegevens op in twee logbestanden, in de ene de commando's en in de andere de tijden. Een traditionele methode om het opdrachtlogboek te omzeilen is door toepassingen te gebruiken die het uitvoeren van opdrachten toestaan. Er wordt bijvoorbeeld een nano-editor geopend en van daaruit worden instructies ingevoerd zoals cat / etc / passwd om toegang te krijgen tot de systeemsleutels.
Deze techniek is niet mogelijk met sudosh, omdat het logboek laat zien hoe de nano wordt geopend en hoe de opdrachten worden uitgevoerd. Om het te installeren, wordt het gedownload en gecompileerd. De logbestanden worden opgeslagen in:
/ var / log / sudosh /
Gebruik de opdracht om de video's te bekijken die converteerbare tekstbestanden zijn sudosh-replay gevolgd door de bestands-ID, zonder dat argument worden alle beschikbare weergegeven.
Uiteindelijke conclusieDeze twee tools zullen ons in staat stellen enige controle te hebben over wat onze gebruikers uitvoeren en zo de beveiliging op de server beter te kunnen beheren.Vond je deze Tutorial leuk en heb je eraan geholpen?Je kunt de auteur belonen door op deze knop te drukken om hem een positief punt te geven
