मूल उपयोगकर्ता नाम के साथ सभी रूट गतिविधि को लॉग इन करें, जो रूट के लिए su'd / sudoed हो

रूट लॉगिन अक्षम (SSH) होने पर लॉग में रूट के रूप में कार्य करने वाले का ट्रैक रखने के लिए पसंदीदा तरीका क्या है, लेकिन उपयोगकर्ता चला सकते हैं sudo -iया su -रूट बन सकते हैं ? मैं मूल कमांड के साथ हर कमांड का पालन करना चाहूंगा। आरएचईएल 6 या कोई लिनक्स rsyslog, आदि।

सबसे मजबूत तरीके लेखा परीक्षा के लिए लगता है:

http://blog.ptsecurity.com/2010/11/requirement-10-track-and-monitor-all.html

ऑडिट मूल रूप से सभी सिस्टम कॉल को स्वीकार करता है और उन्हें आपके नियमों के सेट के खिलाफ जांचता है। तो आपकी /etc/audit/audit.rulesफ़ाइल में आपके पास कुछ इस तरह होगा:

# This file contains the auditctl rules that are loaded
# whenever the audit daemon is started via the initscripts.
# The rules are simply the parameters that would be passed
# to auditctl.

# First rule - delete all
-D

# Increase the buffers to survive stress events.
# Make this bigger for busy systems
-b 320

# Feel free to add below this line. See auditctl man page
-a always,exit -F euid=0 -F perm=wxa -k ROOT_ACTION

अंतिम नियम केवल गैर-डिफ़ॉल्ट नियम है।

इस दृष्टिकोण के साथ मुख्य दोष (और इसका कारण मैंने विकल्प ढूंढते समय यह प्रश्न पाया) यह है कि कच्ची लॉग फाइलें बहुत क्रिप्टिक हैं और कच्चे लॉग फाइल पर क्वेरी प्रोग्राम चलाने के बाद ही सहायक होती हैं: ausearch

उस नियम के लिए एक उदाहरण क्वेरी होगी:

ausearch -ts today -k ROOT_ACTION -f audit_me | aureport -i -f

एक सामान्य ज्ञान समाधान शायद एक क्रोन बनाना होगा जो आपके कच्चे ऑडिट लॉग को क्वेरी करेगा और फिर उन्हें आपके लॉगिंग समाधान पर भेज देगा।

Red Hat डिस्ट्रोस पर आप आमतौर पर /var/log/secureलॉग का उपयोग करते हैं, जो यह पता लगाने के लिए कि sudoफेडोरा / सेंटो / आरएचओ सिस्टम पर कौन लॉगिंग कर रहा है या उपयोग कर रहा है।

उदाहरण

$ sudo -Es

लॉग परिणाम:

सितम्बर १: १२:३२:५ 1 ग्रीनगैस सूडो: saml: TTY = pts / २; PWD = / home / saml; USER = जड़; COMMAND = / bin / bash

$ su -

लॉग परिणाम:

सितम्बर १ ९: ३४:४ ९ ग्रीनएग्स सु: pam_unix (सु-ल: सेशन): सेमल द्वारा यूजर रूट के लिए खोला गया सत्र (यूआईडी = १०००)

यदि आपके पास उपयोगकर्ताओं का सहयोग है, तो आप रूट यूज़र प्रकार को सब कुछ लॉग इन करने के लिए syslog में सेटअप कर सकते हैं।

http://linux.die.net/man/1/rootsh

रूटएलपीएम ईपीईएल में उपलब्ध हैं।

RHEL6 पर sudo का संस्करण भी हर sudo सत्र के लिए एक फ़ाइल में stdout लॉग करने में सक्षम है। Sudo_plugins मैन पेज में देखें।

इन दृष्टिकोणों में से कोई भी पूरी तरह से बुलेटप्रूफ नहीं है।