लिनक्स में एक "व्यक्ति" गतिविधि लॉगिंग

इसलिए मैंने इससे संबंधित कई पोस्ट पढ़े हैं और पहले की तुलना में अधिक उलझन में आ गए हैं। टिट्रेक, स्नोपॉपी, एसीट, रूटश, सुडोश, टिट्रापल्ड, यूनिक्स ऑडिटिंग और अधिक सहित विभिन्न उपकरणों के लिए सिफारिशें हैं।

मेरे मामले में, मैं सिस्टम पर निष्पादित सभी कमांड को लॉग इन करने में सक्षम होना चाहता हूं (जैसे टाइमस्टैम्प के साथ इतिहास सक्षम), लेकिन मैं यह भी जानना चाहता हूं कि किसने क्या किया? हालाँकि, हम सभी उपयोगकर्ता खातों के एक ही छोटे सबसेट (जो हम कर रहे हैं उस पर निर्भर करता है) में ssh के माध्यम से लॉग इन करते हैं। मैं एक कमांड की एक लॉग इन कैसे प्राप्त कर सकता हूं, जिसमें एक "कौन" मुझे (कनेक्शन के बारे में) जानकारी देगा, ताकि मैं किसी विशिष्ट व्यक्ति को केवल सामान्य "उपयोगकर्ता" के समक्ष प्रस्तुत करने के लिए कार्रवाई का पता लगा सकूं?

auditdपैकेज उपयोग इस लिए बनाया गया है, तो आप प्रत्येक लॉगिन एक सत्र ID आवंटित करने के लिए पीएएम उपयोग कर सकते हैं ताकि आप मूल लॉगिन करने के लिए एक खाता पीठ पर गतिविधि ट्रैक कर सकते (और फिर लॉगिन लॉग जाँच निर्धारित करता है कि व्यक्ति से लॉग-इन), और ausearchआपके द्वारा रुचि रखने वाली घटनाओं का पता लगाने के लिए आदेश। आप यहाँ एक बहुत व्यापक गाइड पढ़ सकते हैं, हालांकि कुछ बारीक विवरणों को आपके वितरण से मेल खाने के लिए बदलना होगा। रेडहैट में एक FAQ और कुछ अन्य डॉक्स के साथ एक साइट है ।

चूँकि यह शेल में टाइप किए गए कमांड को लॉग करने या उपयोगकर्ताओं के कमांड इतिहास को रिकॉर्ड करने की कोशिश करने पर निर्भर नहीं करता है, इसलिए इसे screenएक स्क्रिप्ट लिखना (शायद एक या अधिक एक्स में किया जा सकता है ) खुलने जैसी चीजों को लॉग करना चाहिए , एक स्क्रिप्ट (शायद एक चरित्र) vi के कट / पेस्ट कमांड के साथ समय और :.!/usr/games/fortuneकुछ स्रोत डेटा प्राप्त करने के लिए कुछ रन जो आप लॉग इन करने में सक्षम नहीं हो सकते हैं) फिर :%!/bin/bashकमांड चला रहे हैं ।

आपके निपटान में पहले से ही कई प्रकार के उपकरण हैं, जो कि आपका प्रश्न (और ये उत्तर) इतिहास, स्नोपी, ऑडिट, सूडो लॉग, आदि जैसे संकेत देते हैं ... लेकिन अगर आपके पास "खातों का सबसेट" लोग उपयोग कर रहे हैं, तो सर्वर पर कोई रास्ता नहीं बताता कि किसने क्या किया। एकमात्र तरीका जो आप विशेष रूप से बता सकते हैं कि यह किसने किया है यदि उपयोगकर्ताओं के पास अपने स्वयं के कंप्यूटर हैं जो वे विशेष रूप से उपयोग करते हैं और यह बताने के लिए keyloggers का उपयोग करते हैं कि वे उस कीबोर्ड पर भौतिक रूप से क्या लिख ​​रहे थे।

जब भी आप खाते साझा करते हैं, तो आप यह नहीं बता सकते हैं कि वास्तव में क्या चल रहा था, क्योंकि आपको आगे के प्रमाण की आवश्यकता होगी जो आपके रूट खाते या बॉब खाते या आपके लोग जो भी कर रहे थे। यदि आप यह जांचने की कोशिश कर रहे हैं कि किसी विशिष्ट घटना में क्या हुआ है, तो आपको अपनी पहुँच नीतियों और प्रक्रियाओं, अपनी पुनर्प्राप्ति प्रक्रियाओं की समीक्षा करने की आवश्यकता हो सकती है, और यदि आवश्यक हो (या संवेदनशील खातों के साथ उनकी विश्वसनीयता) के बदले में अपने कर्मचारियों और / या मुकरने में संलग्न हों। शिकार पर सीधे ध्यान केंद्रित करने से, जिसने कुछ किया था, क्योंकि वह उस व्यक्ति को खोजने के लिए अधिक संसाधनों को चूस सकता है जो उसने किया था।

अन्यथा आप क्या हुआ (ड्राइव इमेजिंग, लॉग ट्रेसिंग, आदि) को ट्रैक करने के लिए फोरेंसिक जांच तकनीकों पर गौर कर सकते हैं। यदि आप किसी घटना की जांच नहीं कर रहे हैं, तो अपनी नीतियों की समीक्षा करें और बेहतर ट्रैकिंग और खाता सत्यापन (केवल आपके पास) की स्थापना करें रूट, केवल बॉब अपने खाते का उपयोग सूडो का उपयोग करके उच्च विशेषाधिकार प्राप्त करने, स्थापित करने और ऑडिट, आदि की निगरानी करने के लिए करता है) और अपने विश्वसनीय सर्कल को महसूस न करने के लिए सावधान रहें जैसे कि वे एक माइक्रोस्कोप के तहत आयोजित किए जा रहे हैं या आप कोशिश कर रहे लोगों को अलग कर सकते हैं। अपने काम को पूरा करने के लिए (या उन्हें अपने काम करवाने से रोकें)।

लिनक्स ऑडिट ( http://people.redhat.com/sgrubb/audit/ ) आपको यह देखने में सबसे अधिक शक्ति देगा कि किसने क्या किया। डर्फ़के के उत्तर में आपके पास इसके बारे में अधिक है।

हालाँकि, आपको कुछ भी नहीं बताने जा रहे हैं, जिन्होंने वेबदमिन के रूप में लॉग इन किया है, अगर ऐसे लोग हैं जिनके पास वेबदमिन खाते की पहुंच है। मैं प्रत्येक उपयोगकर्ता के लिए नामित खातों का उपयोग करने का सुझाव दूंगा और फिर "फ़ंक्शन" खाते से कमांड चलाने के लिए su - या sudo का उपयोग करूंगा।