User aktivitás

Linux-haladó

Van valami megoldás arra, hogy lássam egy ssh-n bejelentkezett user kiadott shell parancsait realtime,
sőt, a midnight commander-ben elvégzett lépéseit és műveleteit?
(nem akarnék bash history-t nézegetni, komolyabb megoldás érdekelne)

  • 3638 megtekintés

Azt azért vedd figyelembe, hogy a felhasználóval tudatnod KELL, hogy keylogger-t használsz, és hogy ez mit jelent a számára. Ha ugyanis bármilyen személyes adat, vagy privát levél "belekerül a szórásba" (még akkor is, ha belső szabályzat alapján ez nem is lehetne), igen komoly btk-s dolgokat húzhatnak rád, illetve a cégre.

ki kell rakni ssh bannerbe a figyelmeztető szöveget, amit még login előtt olvashat mindenki.

Sok helyen ez a standard szöveg:

This system is for the use of authorized users only.
Individuals using this computer system without
authority, or in excess of their authority, are subject
to having all of their activities on this system
monitored and recorded by system personnel. In the
course of monitoring individuals improperly using this
system, or in the course of system maintenance, the
activities of authorized users may also be monitored.
Anyone using this system expressly consents to such
monitoring and is advised that if such monitoring
reveals possible evidence of criminal activity, system
personnel may provide the evidence of such monitoring
to law enforcement officials.

Szervernél bőven elég ez is, a wc-s hasonlat nem jó.
Szerverre csak az jelentkezhet be, aki azon dolgozhat, és csak azért jelentkezhet be, hogy dolgozzon. Normál esetben privát dolog fel sem merülhet még elméletileg sem. Mi a franc privátot akarhatna az ember pl. egy adatbázis szerveren?

Ha pl. audit trail van konfigurálva egy vason, akkor minden dolgozóval írasson alá az ember egy papírt, hogy minden bit amit megváltoztat rajta, logolva van és a személyéhez köthető? - nonsense.

Kb. minden multi cégnél ez a szöveg ugrik az arcodba, ha ssh-n lépsz be. Papírt viszont még sehol nem kellett emiatt aláírnom.
Anno még ezt a bannerkérdést valami multinál körberágcsálták a jogászok (itt magyarországon) és ha jól emlékszem az a szakvélemény született róla, hogy elégséges.

( eax | 2011. 07. 07., cs – 22:12 )

"komolyabb megoldás"
SCB

Mire kell? :)

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

( uid_194 | 2011. 07. 11., h – 15:24 )

Tobb dolgot lehet csinalni:

1) Kulso celszoftver/eszkoz (SCB-t emlitettek tobben, en is csatlakozom e sorhoz)
2) process accounting (man acct)
3) ttysnoop, esetleg hakolva, hogy el is tarolja. hozza egy lejatszo

Egyebkent ha realtime akarod latni, akkor ttysnoop teljesen jo. Ha ket oraval kesobb akarod megnezni, az mar nem realtime ;)

--
|8]

( locsemege v | 2011. 07. 11., h – 23:30 )

off

Csak én érzem alapjaiban inkorrektnek az eljárást? Lehet valakit nézni, de akkor ez történjen szemtől szembe, álljanak a dolgozó fölött. Mondjuk ez is nagyon zavaró, de legalább korrekt. A különféle megfigyelések szerintem nagyon egyoldalú, inkorrekt megoldások. A megfigyelt, még ha közlik vele a megfigyelés tényét, egy idő után erről a megfigyelő fizikai jelenléte hiányában könnyen megfeledkezik. És innentől kezdve lényegében az ember intim szférájába hatolnak be.

Értem én, hogy munkahelyen dolgozni kell. Van a feladat, van a határidő, ennyi elég kell, hogy legyen. Az a dolgozó magánügye, hogyan oldja meg a feladatot. Ha a dolgozó varázsolni tud, úgy is jó. Ha gondolkodás útján jutott az eredményre - ez a gyakoribb -, az is jó. Szerintem.

on

tr [:lower:] [:upper:] <<<locsemege
LOCSEMEGE

"Csak én érzem alapjaiban inkorrektnek az eljárást? "

Szerintem nem az.

"A megfigyelt, még ha közlik vele a megfigyelés tényét, egy idő után erről a megfigyelő fizikai jelenléte hiányában könnyen megfeledkezik. "

Ez az ő problémája. Jelen esetben egyébként a login előtt egy bannert illik a user arcába tolni, amin közlik vele a monitorozás tényét.

"És innentől kezdve lényegében az ember intim szférájába hatolnak be."

Nem érzek intim területet egy ssh login körül. Ez nem a bekamerázott mosdó esete, csak egy szimpla terminál, ami logol.

"Az a dolgozó magánügye, hogyan oldja meg a feladatot."

Szerver üzemeltetésben egyáltalán nem.
A terminálon történő munkavégzést nagyon sok helyen logolják, főleg, ha privilegizált accountról van szó.
Utólagos elszámoltatás és ellenörzés alapja egy audit trail jellegű dolog.
Bizonyos rendszerek esetén kötelező is a privilegizált accountok tevékenységének rögzítése.

Több olyan szerveren is dolgozok rendszeresen, ahol minden billentyűzet leütésem rögzítésre és archiválásra kerül. Soha nem zavart.

"Ez az ő problémája."

Ja. Akin meg testüregi motozást hajtanak végre, az meg annak az embernek a problémája. Mindig is furcsálltam, amikor egyesek még örülnek is annak, amikor a világunkban egyre embertelenebb, személytelenebb, megalázóbb módszerek válnak gyakorlattá. Továbbá azt, ha valakinek nincs meg az igénye az emberi méltóságra, korrektségre, bizalomra, intimitásra, bármit is jelentsen ez utóbbi.

"Nem érzek intim területet egy ssh-n login körül."

Elgépelések, melléütések, bénázások szerintem ide sorolhatók.

"Nem mindig. A terminálon történő munkavégzést nagyon sok helyen logolják, főleg, ha privilegizált accountról van szó.
Utólagos elszámoltatás és ellenörzés alapja egy audit trail jellegű dolog."

Privilégizált account esetén valóban indokolt lehet, baj esetén nyilván nem szerencsés az egymásra mutogatás.

Felvetésem egyébként kicsit általánosabb volt, mint a konkrét eset, ezért is írtam, hogy off.

tr [:lower:] [:upper:] <<<locsemege
LOCSEMEGE

Heló, mi köze egy testüreg motozásnak, egy audit trailhez?
A bekamerázott munkahelyeket meg hátulról monitort bámuló főnököket én is rühellem, de nem értem, hogy ez hogy jön ebbe a topicba.

Bizonyos rendszerek esetén kötelező is a privilegizált accountok tevékenységének rögzítése.
Ez nem paranoia, nem dolgozó szívatás, hanem egy alapvető biztonsági intézkedés pl. pénzügyi rendszerek esetén. Amit mellesleg törvény(vagy rendelet, vagy csak sima pszáf ajánlás -franc tudja már) is szabályoz.

"Elgépelések, melléütések, bénázások szerintem ide sorolhatók."

Senki sem szórakozik azzal, hogy olvassa a tonnaszámra keletkező terminál logokat.
Ugyanúgy, ahogy a mail szerver rendszergazda sem olvasgatja a userek mailboxait.

Ezek a logok általában automatikusan archiválódnak, és csak arra kellenek, hogy visszaélés gyanúja esetén szisztematikusan keresni lehessen benne.

Privilegizált account lehet akár az összes shell account egy adott rendszeren.
Nagyobb alkalmazások esetén oprendszer shellje általában az alkalmazást üzemeltető/karbantartó tucatnyi embernek is lehet. Ezek az adott rendszerben mind privilegizált felhasználónak minősülnek, akiket szükség esetén ellenőrizni kell tudni.

De biztonsági szempontból ugyanebbe a kalapba tartoznak egy nagyobb szervezetnél az esetleges külső munkavállalók, szerződéssel dolgozók.

szerk.: most megnéztem, egy rendszerben, ahol elég ritkán dolgozok (8-10 óra/hó) kb. 20 MB terminál log keletkezett a (kizárólag az én) tevékenységemről az utóbbi 2 hónapban.
egészen pontosan 386387 sor, összsen 20411651 karakter.
Csókolom a kezét annak a perverz állatnak, aki ezt a logmennyiséget átolvassa, és elütésekre vadászik benne. :)
Ebben ugye nem csak az van benne amit én írok, hanem az is amit az arcomba kapok, többek között az időnként véletlenül catolt binárisok is. :)

Az audit trail-be belekerölHET olyan adat, információ IS, amihez a trail-t visszanézőnek de jure és de faco semmi köze. Például egy jelszó begépelése. A begépelt jelszót naplózód, vagy sem? Egy véletlenől(!) rossz ablakba bemásolt magán jellegű üzenetet, személyes adatot naplózol-e?
Mi a jogilag védhető _célja_ ennek az adatgyűjtésnek? Hogyan tájékoztatod a megfigyelés tényéről a megfigyelt személyt/személyeket? Kik, és milyen feltételek mellett, milyen módon férhetnek hozzá az így összegyűjtött adatokhoz? Ezeket a hozzáféréseket hogyan naplózod? Soroljam még azokat a kérdéseket, amik csak papírozás oldalról (szabályzatok) felmerülnek...?

"Az audit trail-be belekerölHET olyan adat, információ IS, amihez a trail-t visszanézőnek de jure és de faco semmi köze."
És? Nem nézegeti senki a trailt kedvtelésből. Ez állt. egy szabályozott folyamat.

"A begépelt jelszót naplózód, vagy sem?"

Ez most komoly kérdés? Ebben a threadben szerveren levő account shelljéről van szó, ami logol. (gyk: az csak login után indul el.)

"Egy véletlenől(!) rossz ablakba bemásolt magán jellegű üzenetet, személyes adatot naplózol-e?"
Igen. Pont ez a funkciója ennek, hogy mérlegelés nélkül logol. És?
A bejárati biztonsági kamera felveszi amint nyitott sliccel érkezel, és ott lifeg a lompos... így jártál vaze... Nem látom reálisnak, hogy egy ssh terminálablakba valaki az AIDS tesztje eredményét copy-paste-li be véletlenül.

"Mi a jogilag védhető _célja_ ennek az adatgyűjtésnek? "
Pl. a 1996. évi CXII. törvénynek való megfelelés, vagy USA érdekeltségű cég esetén a Sarbanes–Oxley Act megfelelőség.

"Hogyan tájékoztatod a megfigyelés tényéről a megfigyelt személyt/személyeket?"

Milyen megfigyelés bazz!?? Ez egy audit. Tudod , eseménynapló, ki mikor mit csinált a rendszeren, amiben keresni lehet, biztonsági esemény esetén. A legszutykabb könyvelőprogram is támogat audit funkciókat. Ez nem egyenlő a megfigyeléssel. Az audit trail adatok 99%-át soha nem nézi át senki.

"Kik, és milyen feltételek mellett, ...Soroljam még azokat a kérdéseket, amik csak papírozás oldalról (szabályzatok) felmerülnek...?"

Ez egy tök külön téma. Egyébként ezeket a rendszerbiztonsági és adatvédelmi szabályzat rögzíti.
Pont. Kurvára felfújod ezt az egész ügyet. Nem azt állítottam, hogy ahol ilyen módszereket használnak, ott nincs szabályozva az adatgyűjtés módja, tárolása, hozzáférés, stb.
Csak azt pampogom, hogy egy unix szerverre belépéskor jogilag elegendő, ha bannerrel hívják fel a logolás tényére a belépő embert.

Attól, hogy nem nézi senki, attól még az adatok gyűjtése, tárolása (kezelése) megvalósul.

Nem csak shell loginhoz kellhet jelszó... Egy adatbázisba történő belépés, egy adott kiszolgálón futó célalkalmazás... Hümm?

Az, hogy valamennyi tevékenységét rögzíted, az szerinted mégis micsoda? Bizony ám, az megfigyelése annak, hogy mit csinál. Az audit trail akkor ér valamit, ha az egyes tevékenységekhez a pontos időbélyeget is odateszi, ha visszanézhető... Azaz mint egy ipari kamera a billentyűzet+monitor fölött.
Egy bekamerázott helyen sem azt írják ki, hogy kamerával auditált terület, hanem kamerával megfigyelt terület - attól, hogy adott pillanatban épp nem bámulja senki az adott kamera által közvetített/rögzített képet, attól még a lehetősége megvan.

Szerintem nem fújom fel, csak mellérakom azt, hogy mit kell még megoldani a technikai kivitelezésen felül, hogy védve legyen a cég felelős vezetőjének a se@@e is. Igen, szabályozni kell, és ha már van szabályzat, amit belépéskor elolvas, megért, és aláírásával elfogad a dolgozó, akkor célszerűen legyen benne az is, hogy a ... körbe tartozó kiszolgálókhoz történő hozzáférés, az ott végzett tevékenység, a megjelenített adatok részletes, on-line naplózásra kerülnek. (vagy valami hasonló).

A motd/banner ellen még egy példa: "ssh auditalthost cat /srv/titkos/nemszabad.csv" - ebben az esetben a parancs kiadása előtt hol, és hogyan jelenik meg a figyelmeztetés? Nem azt mondom, hogy banner/motd helyett legyen szabályozás/papírozás, hanem a kettő célszerűen egymás mellett létezzen.

"Attól, hogy nem nézi senki, attól még az adatok gyűjtése, tárolása (kezelése) megvalósul."

Igen. És? Nem minősülnek személyes adatnak, úgyhogy lehet. (Cáfolatnak kérnék egy hivatalos jogi állásfoglalást please.)

"motd/banner ellen még egy példa: "ssh auditalthost cat /srv/titkos/nemszabad.csv" - ebben az esetben a parancs kiadása előtt hol, és hogyan jelenik meg a figyelmeztetés?"

Tied a login, és van jogod hozzá? Ha igen, nincs gond. Ha nem, akkor illegális tevékenységet végzel. A fenti esetben személyes adat rögzítése még véletlenül sem történhet...
A tevékenység során egyébként audit nélkül is beazonosítható a user. (syslogok.)
Te minden felhasználóval, aki bármilyen protokollon belép a szerveredre aláíratsz egy papírt, hogy logolásra kerül?

Úgy látom nagy szakértője vagy a témának, ezért , mint azt más egy másik hozzászólásban is kértem, kélek linkelj be valami hivatalos írást is ez ügyben, mert érdekel, hogy mi a valóság. (Törvény, rendelet, jogszabály, vagy ombudsmani/ügyvédi állásfoglalás.)

Részemről a vitát lezárnám, hacsak a találgatáson kívül valami konkrétumot is tudsz mutatni.

Az ssh-kulcsos távoli parancskiadás _előtt_ holt értesül a felhasználó arról, hogy a tevékenység bitről bitre rögzítésre kerül?

amikor a munkaszerződését aláírta. lesz benne egy olyan fejezet, hogy betartja a céges szabályzatokat. egy multi céges szabályzataiban (amiket auditáltatni kell mondjuk a sec kedvéért) ezeket részletesen szokták tárgyalni. a fontosabb szabályzatokhoz tréningek vannak, ahol elmagyarázzák a delikvensnek, hogy ha szembejön a folyosón egy idegen belépőkártya nélkül, akkor szólni kell a biztonsági szolgálatnak :), az igazán kritikus szabályzatok megértéséről (information confidentiality policy, sexual harassment policy, code of conduct & business practices policy) pedig még vizsgákat is tartanak, hogy felmutathassák a sox auditnál.

"Mindig is furcsálltam, amikor egyesek még örülnek is annak, amikor a világunkban egyre embertelenebb, személytelenebb, megalázóbb módszerek válnak gyakorlattá."

Nem is tudod, mennyire szoktak orulni ezeknek a "megalazo, embertelen" dolgoknak, amikor egy biztonsagi incidensnel rajuk mutathatnak, es azt mondhatjak, hogy "latjatok, nem en voltam".

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

Az tisztán ptk.-s szerződés, itt viszont a tevékenység teljes megfigyeléséről és naplózásáról van szó, ami picit más jellegű hátteret kíván meg.
Csak egy ötlet a csak motd-s/banneres megoldás ellen: "Az adott gépen dolgozva az ablak méretét 3 (4, 5, nagyon kevés) sorra szoktam beállítani, hogy elférjen a képernyőn a többi, munkával kapcsolatos ablak mellett/között, így az említett szöveges kiírást nem láthattam."
Tudom, picit életszerűtlen, de elgondolkodtató...

( zwei | 2011. 07. 12., k – 00:33 )

sudosh?

szerintem pont ez kell neked.
sudosh-t be lehet állítani login shellnek, és mindent logol egy adott könyvtárba.
a sudosh-replay paranccsal pedig visszanézhető a teljes session, úgy ahogy történt.

vicces, amikor az aktuális session-odat nézed vele vissza :)

( PcZolee v | 2011. 07. 12., k – 13:54 )

+1 neki, bár ténylek ki lehet játszani, de az talán megoldható, a nagyobb probléma, hogy látszik, hogy benne vagy, de egy ügyes programozó biztos meg tudja oldani mindkettőt ;)

<= Powered By Ubuntu & Gentoo Linux =>

'Software is like sex: It's better when it's free!'
By Linus Torvalds

( haga | 2011. 07. 12., k – 23:13 )

Volt egy hasonló topik:

http://hup.hu/node/103555

A logoláshoz:

-Kint a banner, ha nem fogadod el, nem dolgozol rajta. Irodaházba se lépsz be, ha felvételt készíthetnek rólad bent?
-Audit során nem azt nézik egy shell logban (ahol ugye ha dolgozol nem fogsz irc-zni, levelezni stb, főleg olyan szerveren ahol az ilyesfajta audit kötelező, főleg, hogy valszeg nem lenne rajta ilyesmi kliens, meg ki se tudnál mennni), hogy te mit bénázol, mit játszol rajta, hanem ha van valami gebasz, megnézik, hogy ki volt az a drága aki incidenst okozott (illetve, hogyan is okozta). Mikor kamera felvételeket kell visszanézni, mert valaki lenyúlt mondjuk valamit, se azt nézik, hogy a másik sarokban az emberke milyen csámpásan jár (na jó néhányan, de azok picit alacsonyabb IQ-val rendelkeznek alt.) S mint fentebb is említették, tényleg ki a halált érdekel, hogy mit ütsz el, mit bénázol. Viszont nagyon nagy segítség ha bármi történik, akár számodra is nagy megkönnyebbülést okozhat.

De tényleg, nem azt látják, hogy egy make közben a rotten.com-ot nyálazod egy másik ablakban, ergo nem értem a problémát.

Az gázosabb szerintem, ha a PC-det monitorozzák, amin mondjuk kikeresel egy nemibeteggondozót, mert otthon hagytad a számát :D. De akkor is ugye aláírtad, hogy xy láthatja, hogy te mit hogyan csinálsz, persze xy-al is aláíratnak egy papírt, hogy nem adhatja tovább amit látott. Problem? Ha nem írod alá, akkor vagy nem monitoroznak, vagy nem fogsz leülni a gép elé :).

( Fisher v | 2011. 07. 13., sze – 09:53 )

Kicsit kotorásztam, és két érdekes dolgot találtam:

1: script, scripreplay: ez ahogy láttam képernyőképeket ment, ami nem feltétlen jó, mert elveszhet információ. Viszont lehet hogy jobban működik furán megírt alkalmazásokkal, passz.

2: ttyrec, ttyplay: a régi scriptemet úgy használtam, hogy az xterm ami elindult, az logolt, ehelyett a ttyrec-et gondolom felhasználni, a ttyplay amúgy is ügyesebbnek tűnik mint a scriptreplay.

Mindkét megoldás gyíkja, hogy nem tud mit kezdeni azzal, ha az xterm-et átméretezem - miért is tudna, hisz az teljesen rajta kívül álló esemény. Ezért aztán lehet, hogy a visszajátszás nem 100%-ban olyan, mint amit egyébként láttam. Illetve mindkettő outputja egyszerű szövegfájl, greppelhető, kereshető, bár a curses felület némiképp nehezen olvasható így, ehe.