Cuprins
Pentru a monitoriza și controla utilizatorii de pe servere, știm că este o sarcină foarte complexă datorită utilizatorilor partajați printre multe alte motive, cum ar fi multe modalități de a executa comenzi sau jurnale sau în funcție de nivelul de acces, puteți avea permisiuni astfel încât propriul utilizator primește ștergere care poate chiar încărca sau crea binare, iar fișierele modificate sau apelurile modificate nu sunt afișate clar.A opțiunea de a avea un pic de control avem snoopylogger, despre care știm că este inclus în multe distribuții și că este doar o bibliotecă care se va ocupa de stocarea comenzilor și a utilizatorului care le execută prin syslogd.
Pentru a instala Snoopylogger îl descărcăm de pe terminal
wget http://downloads.sourceforge.net/project/snoopylogger/snoopy-1.8.0.tar.gz?r=&ts=1322946864&use_mirror=nchc
Dezarhivați fișierul din directorul dorit
tar xf snoopy-1.8.0.tar.gz
Accesăm directorul dezarhivat
cd snoopy-1.8.0
Apoi va trebui să-l configurăm și să modificăm unii parametri accesând fișierul snoopy.h
nano snoopy.h
În interiorul fișierului vom seta următorii parametri
#define SNOOPY_ROOT_ONLY 1 #define SNOOPY_MAX_ARG_LENGTH 12288
./configure
Apoi compilăm pentru ao instala cu următoarele comenzi
make && make install
Începem programul cu următoarea comandă
face permis
Apoi trebuie să setăm snoopy să ruleze automat adăugând o nouă linie în /etc/ld.so.preload
În cele din urmă, este recomandat să reporniți sistemul de operare și cu acesta ar trebui să înceapă să funcționeze corect. Jurnalele care sunt colectate vor fi salvate în traseu:
- / var / log / message
- Sau poate fi, de asemenea / var / log / auth și / var / log / secure
Pentru a vedea jurnalele care au fost înregistrate folosim următoarea comandă
tail /var/log/auth.log
De exemplu, atunci când rulați Comand De la terminalul cu utilizatorul root, comanda ls pentru listarea fișierelor generează următoarea înregistrare.
6 Dec 15:25:12 centos snoopy [13845]: [uid: 0 sid: 13833 tty: / dev / pts / 2 cwd: / root filename: / bin / ls]: ls
Ce este Sudosh?Sudosh este un instrument folosit pentru a înregistra sesiuni, ca și cum ar fi un videoclip, a tuturor comenzilor care sunt executate în terminal.
Sudosh este conceput pentru a rula pe distribuții Debian atunci când un utilizator necesită privilegii de administrator. Odată ce este executat, stochează datele în două fișiere jurnal, într-una din comenzi și în cealaltă ori. O metodă tradițională de ocolire a jurnalului de comandă este folosirea aplicațiilor care permit executarea comenzii. De exemplu, se deschide un editor nano și de acolo sunt introduse instrucțiuni precum cat / etc / passwd, pentru a accesa cheile de sistem.
Această tehnică nu este posibilă cu sudosh, deoarece jurnalul va arăta cum se deschide nano și cum sunt executate comenzile. Pentru ao instala, este descărcat și compilat. Fișierele jurnal sunt stocate în:
/ var / log / sudosh /
Pentru a examina videoclipurile care sunt fișiere text convertibile, utilizați comanda sudosh-reluare urmat de ID-ul fișierului, fără acel argument vor fi listate toate cele disponibile.
Concluzie finalăAceste două instrumente ne vor permite să avem un anumit control asupra a ceea ce execută utilizatorii noștri și astfel să putem avea o gestionare mai adecvată a securității pe server.V-a plăcut și ați ajutat acest tutorial?Puteți recompensa autorul apăsând acest buton pentru a-i oferi un punct pozitiv
