Для мониторинга и управления пользователями на серверах мы знаем, что это очень сложная задача из-за того, что пользователи разделяются по многим другим причинам, таким как множество способов выполнения команд или журналов или в зависимости от уровня доступа, который вы можете иметь разрешения, чтобы Пользователь сам может удалить, что он может даже загружать или создавать двоичные файлы, и измененные файлы или измененные вызовы не демонстрируются четко.
Возможность иметь небольшой контроль у нас есть snoopylogger, который, как мы знаем, включен во многие дистрибутивы, и что только библиотека будет отвечать за хранение команд и пользователя, который выполняет их через syslogd .
Для установки Snoopylogger мы скачиваем его с терминала
wget http://downloads.sourceforge.net/project/snoopylogger/snoopy-1.8.0.tar.gz?r=&ts=1322946864&use_mirror=nchc
Распакуйте файл в каталог, который мы хотим
tar xf snoopy-1.8.0.tar.gz
Доступ к распакованному каталогу
CD Snoopy-1.8.0
Затем нам нужно будет настроить его и изменить некоторые параметры, зайдя в snoopy.h
нано snoopy.h
Внутри файлов мы установим следующие параметры
#define SNOOPY_ROOT_ONLY 1 #define SNOOPY_MAX_ARG_LENGTH 12288
Сохраняем файл snoopy.h и выполняем команду настройки
./configure
Затем мы компилируем, чтобы установить его с помощью следующих команд
make && make install
Запускаем программу следующей командой
сделать возможным
Затем мы должны установить автоматический запуск snoopy, добавив новую строку в /etc/ld.so.preload
Наконец, желательно перезагрузить операционную систему, и с этим она должна начать работать правильно. Собранные журналы будут сохранены на маршруте:
- / var / log / message
- Или это также может быть / var / log / auth и / var / log / secure
Чтобы увидеть зарегистрированные журналы, мы используем следующую команду
хвост /var/log/auth.log
Например, при выполнении команды ls из терминала с пользователем root команда ls для вывода списка файлов генерирует следующую запись.
6 декабря 15:25:12 centos snoopy [13845]: [uid: 0 sid: 13833 tty: / dev / pts / 2 cwd: / корневое имя файла: / bin / ls]: ls
Судош запись пользовательских сессий как видео
Что такое Судош?
Sudosh - это инструмент, используемый для записи сессий, как если бы это было видео, всех команд, которые выполняются в терминале.
Sudosh предназначен для запуска в дистрибутивах Debian, когда пользователю требуются права администратора. После выполнения он сохраняет данные в двух файлах журнала, в одной команде и в другой раз. Традиционный способ пропустить журнал команд - это использовать приложения, которые позволяют выполнять команды. Например, открывается нано-редактор и из него вводятся инструкции, такие как cat / etc / passwd, для доступа к системным ключам.
Этот метод невозможен для sudosh, так как журнал покажет, как открывается nano и как выполняются команды. Чтобы установить его, скачайте и скомпилируйте. Файлы журнала хранятся в:
/ var / log / sudosh /
Для просмотра видео, которые являются конвертируемыми текстовыми файлами, используется команда sudosh-replay, за которой следует идентификатор файла, без этого аргумента будут перечислены все доступные.
Окончательный вывод
Эти два инструмента позволят нам иметь некоторый контроль над тем, что выполняют наши пользователи, и, таким образом, сможем более адекватно управлять безопасностью сервера.
- 0
СТАТЬИ