मेरे कंप्यूटर पर निगरानी गतिविधि।

16

इसलिए हाल ही में मैंने पाया कि कोई मेरे कंप्यूटर का उपयोग बिना सहमति, ब्राउजिंग फोल्डर आदि के कर रहा है।

मैं अपने सभी पासवर्ड सीधे बदल सकता था, लेकिन मैं उत्सुक हूं कि घुसपैठ करने वाली पार्टी क्या देख रही थी। इसलिए मैं एक जाल (बुरी मुस्कराहट) स्थापित करना चाहूंगा।

कौन सा सॉफ़्टवेयर मेरे कंप्यूटर पर किसी भी गतिविधि की निगरानी करेगा? जबकि मुझे पता है कि मेरी स्क्रीन पर कब्जा करना यहां काम करेगा। बल्कि मैं एक लॉगफ़ाइल का उपयोग करूँगा।

उदाहरण के लिए:

/var/log/activity.log

[१ अगस्त २०१० २०:२३] / usr / bin / thunar एक्सेस / मल्टीमीडिया / cctv-record /
[१ अगस्त २०१० २०:२५] / usr / bin / mplayer एक्सेस किया गया /multimedia/cctv-records-00232.avi
[३ अगस्त 2010 02:34] / usr / bin / thunderbird चलाया गया था
[3 अगस्त 2010 03:33] 12.32.132.123 से सत्र सत्र

मैं जिन गतिविधियों को लॉग करना चाहूंगा वह है:

  • फ़ाइल सिस्टम पर फ़ाइलों और फ़ोल्डरों तक पहुंच
  • कमांड चलाते हैं (कंसोल से या अन्यथा)
  • उपयोगकर्ता सत्र (लॉगिन, ssh सत्र और असफल प्रयास)
security  monitoring  logs  forensics 
स्टीफन
स्रोत
/var/log/auth.log को आपकी तीसरी बुलेट बिंदु को कवर करना चाहिए। दूसरों को थोड़ा कम तुच्छ जाना जा रहा है।
कास्केबेल
@jefromi my Andor.log में केवल sudo और su कमांड के प्रयास हैं ... कोई लॉगिन नहीं :(
स्टीफन

जवाबों:

8

आप inotifyएक्सेस फ़ाइलों की निगरानी के लिए इन-कर्नेल तंत्र का उपयोग कर सकते हैं ।

पहले आपको यह जांचना चाहिए कि inotifyक्या कर्नेल चालू है:

pbm@tauri ~ $ zcat /proc/config.gz | grep CONFIG_INOTIFY
CONFIG_INOTIFY=y
CONFIG_INOTIFY_USER=y

अगला काम करना है inotify-tools। विभिन्न वितरण के लिए निर्देश आपको प्रोजेक्ट पेज पर मिल सकते हैं - यह सभी प्रमुख वितरणों की रिपॉजिटरी में होना चाहिए।

उसके बाद inotify काम करने के लिए तैयार है:

inotifywait /dirs/to/watch -mrq

( m= एक घटना के बाद बाहर न निकलें, r= पुनरावर्ती, q= शांत)

उदाहरण के लिए - आउटपुट के बाद ls /home/pbm

pbm@tauri ~ $ inotifywait /bin /home/pbm -mq 
/bin/ OPEN ls
/bin/ ACCESS ls
/bin/ ACCESS ls
/home/pbm/ OPEN,ISDIR 
/home/pbm/ CLOSE_NOWRITE,CLOSE,ISDIR 
/bin/ CLOSE_NOWRITE,CLOSE ls

महत्वपूर्ण बात यह है कि घड़ी के लिए निर्देशिकाओं को ठीक से सेट करें:

  • /पुनरावर्ती रूप से न देखें - इसमें बहुत कुछ पढ़ने / लिखने /devऔर/proc
  • अपने घर की पुनरावृत्ति को न देखें - जब आप ऐप्स का उपयोग करते हैं तो एप्लिकेशन कॉन्फ़िगरेशन डायर और ब्राउज़रों के प्रोफ़ाइल पर बहुत कुछ पढ़ने / लिखने के लिए होता है

इसमें /proc/sys/fs/inotify/max_user_watchesकॉन्फ़िगरेशन विकल्प है जो दिखाता है कि कितनी फ़ाइलों को एक साथ देखा जा सकता है। डिफ़ॉल्ट मान (Gentoo के लिए) इतना अधिक नहीं है, इसलिए यदि आप चौकीदार को सेट करते हैं तो आप /home/सीमा को पार कर सकते हैं। आप echo(रूट एक्सेस आवश्यक) का उपयोग करके सीमा बढ़ा सकते हैं ।

echo 524288 > /proc/sys/fs/inotify/max_user_watches

लेकिन इससे पहले आपको उस परिवर्तन के परिणामों के बारे में पढ़ना चाहिए ।

विकल्प जो आपके लिए दिलचस्प हो सकते हैं:

  • -d = डेमॉन मोड
  • -o file = फाइल करने के लिए आउटपुट
  • --format = उपयोगकर्ता-निर्दिष्ट प्रारूप, अधिक जानकारी man inotifywait
  • -e EVENT= क्या घटना निगरानी की जानी चाहिए (उदाहरण के लिए access, modify, आदि, में और अधिक जानकारी man)
पीबीएम
स्रोत
सिस्टम रीसेट के बीच अंतिम सेटिंग करने के लिए, डेबियन पर आप कर सकते हैं echo 524288 >> /etc/sysctl.conf && service procps restart। Gentoo में क्या बराबर है?
tshepang
मेरा मतलब है कि आप का मतलब है echo "fs.inotify.max_user_watches = 524288" >> /etc/sysctl.conf। Gentoo में आप एक ही विधि का उपयोग कर सकते हैं, लेकिन init स्क्रिप्ट sysctl.confद्वारा इसे सॉर्ट किया गया है /etc/init.d/bootmisc
pbm
1
वास्तव में यह /etc/init.d/sysctl है।
वनऑफऑन
7

क्या दूसरा लड़का आप पर है? यदि उसके पास भौतिक पहुंच या रूट एक्सेस है, तो वह अपने सभी निशान मिटा सकता है और यहां तक ​​कि आप पर जासूसी करने के लिए एक बग भी लगा सकता है । दूसरी ओर, कुछ निशान मिटाने के लिए एक दर्द है, और यह सब कुछ सोचना मुश्किल है।

विभिन्न चीजों को पहले से ही सिस्टम लॉग में दर्ज कर रहे हैं, आम तौर पर में /var/log(कुछ सिस्टम जैसे भिन्न स्थान का उपयोग /var/logsया /var/adm)। एक सामान्य कॉन्फ़िगरेशन के तहत, सभी लॉगिन और माउंट दूसरों के बीच दर्ज किए जाते हैं। यदि आप लॉग मिटाए जाने के बारे में चिंतित हैं, तो आप दूरस्थ लॉगिंग सेट कर सकते हैं (यह कैसे करना है यह syslog कार्यान्वयन पर निर्भर करता है, लेकिन यह आमतौर पर प्रेषक और रिसीवर पर कॉन्फ़िगरेशन फ़ाइल में बदलने के लिए एक या दो लाइनें है)।

यदि आप या आपके वितरण ने इस सुविधा को अक्षम नहीं किया है, तो हर फ़ाइल का एक्सेस समय ("atime") होता है, जो कि फ़ाइल को पढ़ने पर अद्यतन किया जाता है। (यदि फाइलसिस्टम noatimeया relatimeविकल्प के साथ आरोहित है , तो atime अपडेट नहीं किया गया है।) atime के साथ फेक किया जा सकता है touch -a, लेकिन यह ctime को अपडेट करता है, इसलिए यह एक ट्रेस छोड़ देता है। (यहां तक ​​कि रूट सीधे इस ट्रेस को नहीं हटा सकता है, आपको फाइल सिस्टम कोड को बायपास करना होगा।)

विभिन्न कार्यक्रमों का एक सत्र इतिहास होता है । इसे हटाना या नकली करना आसान है, अगर घुसपैठिया ऐसा करने के लिए याद रखे। बैश रहता है ~/.bash_history, ब्राउज़र अपनी प्रोफ़ाइल निर्देशिका में बहुत सारे सामान लिखते हैं, और इसी तरह। तुम भी में त्रुटि या चेतावनी कह मिल सकता है ~/.xsession-errorsया /var/log/Xorg.0.logया अन्य प्रणाली पर निर्भर स्थान।

कई यूनियनों में एक प्रक्रिया लेखांकन process सुविधा होती है। उदाहरण के लिए देखें जीएनयू अकाउंटिंग यूटिलिटीज मैनुअल , फ्रीबीएसडी हैंडबुक या लिनक्स हाउटो या सोलारिस गाइड में प्रविष्टि । एक बार सक्षम होने के बाद, यह रिकॉर्ड करता है कि उपयोगकर्ता ने क्या प्रक्रिया शुरू की है जब (यह execveकॉल लॉग करता है), और शायद थोड़ा अधिक। ऐसी बहुत सी रोचक जानकारी है जो लॉग नहीं करती है, जैसे कि प्रक्रिया द्वारा एक्सेस की गई फाइलें।

यदि आप किसी फ़ाइल सिस्टम पर सभी एक्सेस की निगरानी करना चाहते हैं, तो आप इसे लॉगऑफ़ के माध्यम से प्रदान कर सकते हैं । यह नोटिस करना बहुत आसान है अगर लड़का देखना चाहता है।

अधिक व्यापक लॉगिंग प्रोग्राम हैं, लेकिन उन्हें अतिरिक्त कर्नेल समर्थन की आवश्यकता हो सकती है। Solaris, FreeBSD, NetBSD और Mac OS X पर, dtrace (प्रगति में लिनक्स पोर्ट है, लेकिन मुझे नहीं पता कि यह प्रयोग करने योग्य चरण में पहुंचा है)। आप ptraceसिस्टम कॉल के लिए इंटरफ़ेस के माध्यम से विशिष्ट प्रक्रियाओं का पता लगा सकते हैं , उदाहरण के लिए straceलिनक्स पर; यह ध्यान देने योग्य मंदी को प्रेरित कर सकता है।

¹ कुछ ऐसा जो विकिपीडिया में नहीं है? नहीं, यह पागल बात है।

गिल्स 'SO- बुराई होना बंद करो'
स्रोत
1

Fail2ban और DenyHssts पर एक नज़र डालें

iamsid
स्रोत
1
Fail2ban कुछ कार्यों (जैसे, एक आईपी पर प्रतिबंध लगाने) के लिए प्रवेश लॉग को देखता है, लेकिन यह इस प्रकार के एक्सेस लॉग को उत्पन्न नहीं करता है। डेनहॉस्ट्स आईपी पर प्रतिबंध लगाने के लिए टीसीपी रैपर्स पर भरोसा करते हैं, फिर से, यह ओपी से संबंधित नहीं है।
बारथेलेमी
1

यह वही नहीं है जो आप खोज रहे हैं, लेकिन कुछ ऐप्स हाल ही में एक्सेस की गई फ़ाइलों की सूची रखते हैं। इसके अलावा, GNOME उस सूची को रखता है, जिसे उसके पैनल से एक्सेस किया जा सकता है।

एक अन्य फिक्स GNOME एक्टिविटी जर्नल का उपयोग करना है , हालांकि पिछली बार जब मैंने जाँच की थी, तो यह CLI गतिविधि का रिकॉर्ड नहीं रखता था, और केवल अन्य गतिविधियों की अनदेखी करते हुए फ़ाइल-संबंधित गतिविधि (पढ़ने, संपादन) में रुचि रखता था।

आप /var/logनिर्देशिका के अंदर भी देख सकते हैं जहाँ कार्यक्रमों का एक समूह उनके लॉग को संग्रहीत करता है।

tshepang
स्रोत
1

अपने हमलावर के पक्ष में पर्याप्त भोलापन मानते हुए, आप बस script -qft $USER-$$ 2> $USER-$$-timeउसकी / उसके टर्मिनल इंटरैक्शन की निगरानी करने और उपयुक्त स्क्रिप्टरेप कमांड के साथ फिर से खेलना करने के लिए उसकी / अपने उपयुक्त लॉगिन स्क्रिप्ट में फेंक सकते हैं ।

फ़ाइल-स्तरीय पहुंच की निगरानी करने के लिए, मैं strace -fe opensshd को उपयुक्त लॉगिंग के साथ संलग्न करने और लॉगिन सत्रों के लिए फ़िल्टर करने की सलाह देता हूं (या शायद यह सिर्फ इससे बेहतर है। चेतावनी: विशाल आउटपुट, क्योंकि आधुनिक सिस्टम पर कुछ भी करने से बहुत सारी फाइलें छू जाती हैं। यदि आप केवल विशिष्ट फाइलों की निगरानी करना चाहते हैं, तो ऑडिट और इसके समर्थन बुनियादी ढांचे पर एक नज़र डालें ।

अन्य उत्तरों के अनुसार सत्र और लॉगिन प्रयास syslog से एकत्र किए जा सकते हैं।

थॉमस थेमेल
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.