Índice
Para monitorar e controlar os usuários nos servidores, sabemos que é uma tarefa muito complexa devido aos usuários compartilhados entre muitos outros motivos, como muitas formas de executar comandos ou logs ou dependendo do nível de acesso, você pode ter permissões para que o próprio usuário obtém a exclusão que pode até mesmo fazer upload ou criar binários e os arquivos modificados ou chamadas modificadas não são mostrados claramente.UMA opção de ter um pouco de controle, temos snoopylogger, que sabemos que está incluído em muitas distribuições, e que é apenas uma biblioteca que se encarregará de armazenar os comandos e do usuário que os executa através syslogd.
Para instalar o Snoopylogger, nós o baixamos do terminal
wget http://downloads.sourceforge.net/project/snoopylogger/snoopy-1.8.0.tar.gz?r=&ts=1322946864&use_mirror=nchc
Descompacte o arquivo no diretório que queremos
tar xf snoopy-1.8.0.tar.gz
Nós acessamos o diretório descompactado
cd snoopy-1.8.0
Então precisaremos configurá-lo e modificar alguns parâmetros acessando o arquivo snoopy.h
nano snoopy.h
Dentro do arquivo iremos definir os seguintes parâmetros
#define SNOOPY_ROOT_ONLY 1 #define SNOOPY_MAX_ARG_LENGTH 12288
./configure
Em seguida, compilamos para instalá-lo com os seguintes comandos
make && make install
Iniciamos o programa com o seguinte comando
tornar habilitar
Em seguida, devemos definir o snoopy para ser executado automaticamente, adicionando uma nova linha em /etc/ld.so.preload
Por fim, recomenda-se reiniciar o sistema operacional e com isso deverá começar a funcionar corretamente. Os logs coletados serão salvos na rota:
- / var / log / mensagem
- Ou pode ser também / var / log / auth e / var / log / secure
Para ver os logs que foram registrados usamos o seguinte comando
tail /var/log/auth.log
Por exemplo, ao executar o ls comando A partir do terminal com o usuário root, o comando ls para listar arquivos gera o seguinte registro.
6 de dezembro 15:25:12 centos snoopy [13845]: [uid: 0 sid: 13833 tty: / dev / pts / 2 cwd: / root filename: / bin / ls]: ls
O que é Sudosh?Sudosh é uma ferramenta usada para gravar sessões, como se fosse um vídeo, de todos os comandos que são executados no terminal.
Sudosh é projetado para rodar em distros Debian quando um usuário requer privilégios de administrador. Uma vez executado, ele armazena os dados em dois arquivos de log, em um os comandos e no outro os tempos. Um método tradicional de contornar o log de comando é usar aplicativos que permitem a execução do comando. Por exemplo, um editor nano é aberto e a partir dele são inseridas instruções, como cat / etc / passwd, para acessar as chaves do sistema.
Esta técnica não é possível com o sudosh, pois o log mostrará como o nano é aberto e como os comandos são executados. Para instalá-lo, ele é baixado e compilado. Os arquivos de log são armazenados em:
/ var / log / sudosh /
Para revisar os vídeos que são arquivos de texto conversíveis, use o comando sudosh-replay seguido pelo ID do arquivo, sem esse argumento, todos os disponíveis serão listados.
Conclusão finalEstas duas ferramentas vão permitir-nos ter algum controlo sobre o que os nossos utilizadores executam e assim podermos ter uma gestão mais adequada da segurança do servidor.Gostou e ajudou este tutorial?Você pode recompensar o autor pressionando este botão para dar a ele um ponto positivo
