Obsah
Abychom mohli monitorovat a řídit uživatele na serverech, víme, že je to velmi složitý úkol, protože mezi ostatními uživateli jsou mnoho dalších důvodů, například mnoho způsobů provádění příkazů nebo protokolů nebo v závislosti na úrovni přístupu můžete mít oprávnění, takže vlastní uživatel získá smazání, které může dokonce nahrávat nebo vytvářet binární soubory a upravené soubory nebo upravená volání nejsou jasně zobrazena.A možnost trochu ovládat máme snoopylogger, o kterém víme, že je součástí mnoha distribucí, a že je to pouze knihovna, která bude mít na starosti ukládání příkazů a uživatele, který je provádí prostřednictvím syslogd.
Chcete -li nainstalovat Snoopylogger, stáhneme ho z terminálu
wget http://downloads.sourceforge.net/project/snoopylogger/snoopy-1.8.0.tar.gz?r=&ts=1322946864&use_mirror=nchc
Rozbalte soubor v požadovaném adresáři
tar xf snoopy-1.8.0.tar.gz
Přistupujeme k rozbalenému adresáři
cd snoopy-1.8.0
Poté jej budeme muset nakonfigurovat a upravit některé parametry přístupem k souboru snoopy.h
nano snoopy.h
Uvnitř souboru nastavíme následující parametry
#define SNOOPY_ROOT_ONLY 1 #define SNOOPY_MAX_ARG_LENGTH 12288Uložíme soubor snoopy.h a spustíme konfigurační příkaz
./configure
Poté jej zkompilujeme a nainstalujeme pomocí následujících příkazů
make && make install
Program spustíme následujícím příkazem
povolit
Poté musíme nastavit automatické spouštění snoopy přidáním nového řádku /etc/ld.so.preload
Nakonec se doporučuje restartovat operační systém a s ním by měl začít správně fungovat. Shromážděné protokoly budou uloženy na trase:
- / var / log / zpráva
- Nebo také může být / var / log / auth a / var / log / secure
Abychom viděli registrované protokoly, použijeme následující příkaz
ocas /var/log/auth.log
Například při spuštění souboru je to příkaz Z terminálu s uživatelem root vygeneruje příkaz ls pro výpis souborů následující záznam.
6. prosince 15:25:12 centos snoopy [13845]: [uid: 0 sid: 13833 tty: / dev / pts / 2 cwd: / root filename: / bin / ls]: ls
Co je Sudosh?Sudosh je nástroj používaný k záznamu relací, jako by to bylo video, všech příkazů, které jsou prováděny v terminálu.
Sudosh je navržen tak, aby fungoval na distribucích Debianu když uživatel vyžaduje oprávnění správce. Jakmile je spuštěn, uloží data do dvou souborů protokolu, do jednoho příkazů a do druhého časů. Tradiční metodou obcházení protokolu příkazů je použití aplikací, které umožňují provádění příkazů. Například se otevře editor nano a odtud se zadávají pokyny, například cat / etc / passwd, pro přístup k systémovým klíčům.
Tato metoda není u sudoshe možná, protože protokol ukazuje, jak se nano otevírá a jak se provádějí příkazy. Chcete -li jej nainstalovat, stáhne se a zkompilová. Soubory protokolu jsou uloženy v:
/ var / log / sudosh /
Chcete -li zkontrolovat videa, která lze převést na textové soubory, použijte příkaz sudosh-replay následuje ID souboru, bez tohoto argumentu budou uvedeny všechny dostupné.
Konečný závěrTyto dva nástroje nám umožní mít určitou kontrolu nad tím, co naši uživatelé provádějí, a tak budou moci mít adekvátnější správu zabezpečení na serveru.Líbil se vám tento návod a pomohl mu?Autora můžete odměnit stisknutím tohoto tlačítka, čímž mu dáte kladný bod