उन सभी को कैसे रिकॉर्ड किया जाए जो मेरी लिनक्स मशीनों में प्रवेश करते हैं और उन्हें रिकॉर्ड करते हैं


1

मैंने अपने linux red-hat 6.x मशीन पर पैकेज ऑडिट स्थापित किया है ताकि प्रत्येक उपयोगकर्ता की मंदी को देखने के लिए जो मेरे linux मशीन पर लॉग इन करे

yum install audit

किट स्थापना से: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Security_Guide/sec-installing_the_audit-packages.html

स्थापना और ऑडिट सेवा को पुनरारंभ करने के बाद

service auditd start

मैं उपयोगकर्ताओं के रिकॉर्ड देखने के लिए audir.log फ़ाइल का पालन करता हूं

tail -f /var/log/audit/audit.log 

लेकिन इस लॉग से मुझे केवल उपयोगकर्ता IP का पता चलता है और जब वह मेरी लिनक्स मशीन में प्रवेश करता है

उपयोगकर्ता कमांड लाइन के रिकॉर्ड्स जो लेखा परीक्षा में apperars नहीं सुगंधित करता है

कुछ एक सलाह है कि क्यों हम linux कमांड के इतिहास को आडिट में नहीं देख सकते हैं ।

aud.log का उदाहरण

type=USER_START msg=audit(1422876162.936:152): user pid=28114 uid=0 auid=0 ses=74236 msg='op=PAM:session_open acct="root" exe="/usr/sbin/sshd" hostname=10.1.113.35        addr=10.1.113.35 terminal=ssh res=s'
type=USER_LOGIN msg=audit(1422876162.940:153): user pid=28116 uid=0 auid=0            ses=74236 msg='op=login id=0 exe="/usr/sbin/sshd" hostname=10.1.113.35            addr=10.1.113.35     terminal=/dev/pts/1 res=success'
type=USER_START msg=audit(1422876162.940:154): user pid=28116 uid=0 auid=0 ses=74236 msg='op=login id=0 exe="/usr/sbin/sshd" hostname=10.1.113.35 addr=10.1.113.35 terminal=/dev/pts/1 res=success'
type=CRYPTO_KEY_USER msg=audit(1422876162.940:155): user pid=28116 uid=0 auid=0 ses=74236 msg='op=destroy kind=server fp=99:c8:56:79:64:17:0b:67:b5:6c:e9:36:22:8a:b1:88 direction=? spid=28116 suid=0 '
type=CRYPTO_KEY_USER msg=audit(1422876162.940:156): user pid=28116 uid=0 auid=0 ses=74236 msg='op=destroy kind=server fp=6f:b9:bf:4f:84:1f:58:e5:d2:1c:94:1f:11:8e:26:61 direction=? spid=28116 suid=0 '
type=CRED_REFR msg=audit(1422876162.940:157): user pid=28116 uid=0 auid=0 ses=74236 msg='op=PAM:setcred acct="root" exe="/usr/sbin/sshd" hostname=10.1.113.35 addr=10.1.113.35 terminal=ssh res=success'
  • यदि यह उपकरण प्रत्येक उपयोगकर्ता का रिकॉर्ड नहीं कर सकता है तो कृपया टिप्पणी करें, कृपया मुझे वह अन्य उपकरण ढूंढने में मदद करें जो अय्यूब कर सकता है

यह लिंक आपको लॉग-आउट पर स्क्रिप्ट चलाने का तरीका दिखाता है। आप कमांड इतिहास फ़ाइल को रिकॉर्ड करने के लिए इसका उपयोग कर सकते हैं, हालांकि यह एक पूर्ण समाधान नहीं हो सकता है। आदर्श रूप से आप एक संशोधित शेल चाहते हैं, लेकिन चूंकि उपयोगकर्ता अन्य शेल का उपयोग कर सकते हैं, इसलिए आपको सिस्टम के सभी शेल में संशोधनों की आवश्यकता होगी ।
AFH

मैंने लिनक्स शेल ऑडिटिंग को googled किया और यह उपयोगी सारांश पाया ।
AFH
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.