Linux Auditing System cz.2 – Śledzenie aktywności użytkowników

By | 14 grudnia 2011

W poprzednim wpiście opisywałem jak za pomocą auditd monitorować zmiany na konkretnych plikach lub w konkretnych katalogach. Rzecz jak najbardziej przydatna, jeśli chcemy wdrażać FIM (File Integrity Monitoring). W tym poście opiszę jednak bardziej zaawansowaną i użyteczną funkcjonalność. Niekiedy zdaża się… że chcemy monitorować co, kiedy i jaki user w systemie uruchamiał. Ta rzecz przydatna jest do monitorowania oraz weryfikacji, czy np. Kowalski usunął ten plik, czy uruchomił ten skrypt. Zapraszam dalej…

Jest kilka możliwości, aby monitorować co dokładnie user wykonywał. Od zabezpieczenia pliku .bash_history po możliwości grsecurity-kernel. Poniższe rozwiązanie wydaje mi się bardziej elastyczne i z większymi możliwościami niż pozostałe. W tym
To rozwiązanie możemy jak najbardziej zaliczyć do hardeningu naszych linuksów.

1. Wymagany soft

Aby rozpocząć przygotowywanie systemu do ciągłego logowania akcji naszych userów potrzebujemy paczek (poniższa wersja tyczy się systemów opartych na RHEL6):

Jeśli nie posiadamy tych dwóch paczek to je instalujemy.

2. Wymagane usługi

Do poprawnego działania tego rozwiązania potrzebujemy właczonych dwóch usług: auditd oraz psacct

3. Konfiguracja PAM

Aby zbierały się informacje o tym, jakie polecenia były wykonywane przez użytkownika root musimy odpowiednio przygotować PAM do tego, aby takie informacje nam audytował.
3.1. W pliku /etc/pam.d/system-auth na szczycie sekcji session dopisujemy:

3.2. W pliku /etc/pam.d/su oraz /etc/pam.d/su-l do sekcji session dopisujemy:

3.3. Jeżeli używamy sudo w pliku /etc/pam.d/sudo oraz /etc/pam.d/sudo-i do sekcji session dopisujemy:

4. Testujemy śledzenie

Śledzenie wykonywanych programów pokazuje również jaki jest prawdziwy UID użytkownika który wykonał np. su -.

A więc przetestujmy zachowanie:

Co pokaże nam log:

 

Co wskazany log pokazał (linijkami):

1. User mike z poziomu użytkownika root przeszedł do katalogu /etc (cd /etc)
2. User mike z poziomu użytkownika root przeszedł do katalogu /var/log/audit (cd /var/log/au po czym wcisnął TAB aby auto dopełnić ścieżkę)
3. User mike z poziomu użytkownika root wyświetlił plik audit (cat au po czym wcisnął TAB aby auto dopełnić ścieżkę)
4. User mike z poziomu użytkownika root sprawdził datę (date)
5. User mike z poziomu użytkownika root wykonał polecenie „ausearch ….”

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *