Hello!
Segitségre lenne szuksegem.
Kaptam par kollegat, akiknek a munkajukhoz engednem kell a file szerveremen a root jogosultsagot.
Többször vita targyat szuli, hogy utolag ki, mikor mit rontott el...
Arra gondoltam, kellene egy scriptet irnom, ami figyeli, hogy melyik user su-zott és ezt loggolom, vagy elkuldom mailbe magamnak (mondjuk ez utobbi a legbiztosabb :) )
Ahhoz kellene segitseg, hogy akar egy bash scriptben, hogy tudom figyelni, hogy melyik felhasznalo mikor su-zott a tobbi mar megy ...... :)
- 1748 megtekintés
Hozzászólások
Amit leírsz, arra a sudo való, azt pont erre találták ki.
--
The Net is indeed vast and infinite...
http://gablog.eu
- A hozzászóláshoz be kell jelentkezni
+1
(auth.log-ban ott vannak a nyomai)
- A hozzászóláshoz be kell jelentkezni
Ok :) direkt nem irtam sudo-t, akkor azt kellene kovetnem ki sudozott.....
igy mar ok? :)
Lehetne hogy az elkovetkezokben #!/bin/bash kezdetu hozzaszolasok szulessenek?
"#define QUESTION ((bb) || !(bb)) /* (c) written by W. Shakespeare. */
- A hozzászóláshoz be kell jelentkezni
history figyelése (usereké), bár nem túl szép? (pl. szkript a profiljukban, ami csak akkor logol, ha su -t lát)
- A hozzászóláshoz be kell jelentkezni
"Ahhoz kellene segitseg, hogy akar egy bash scriptben, hogy tudom figyelni, hogy melyik felhasznalo mikor su-zott"
Grepelj ra auth.logban.
--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!
- A hozzászóláshoz be kell jelentkezni
Ez ok!
csak gondolj bele , nem biztos a dolgaban, letorol, modosit....
Rajon, hogy hulye volt....
Szerinted is az auth.log-ot torli eloszor?
Mert volt mar ra pelda...
Ezert kellene figyeltetnem..... es igy nincs vita
"#define QUESTION ((bb) || !(bb)) /* (c) written by W. Shakespeare. */
- A hozzászóláshoz be kell jelentkezni
logolsz akkor kozben tavoli logserverre is.
-------------------------------
“The 0 in Raid 0 stands for how many files you’re going to get back if something goes wrong” :)
- A hozzászóláshoz be kell jelentkezni
Ok!
Legyen loggolas, ugy sem ez az erdekes.....
A problemam, hogy tudom valtozoban letarolni, azt az esemenyt ha valaki root jogosultsagra valt egy scriptben?
Esetleg nem script, hanem letezik erre valami daemon?
Sax vagy hasonlo remlik, de az betoresre volt.... , huuuu de regen...
"#define QUESTION ((bb) || !(bb)) /* (c) written by W. Shakespeare. */
- A hozzászóláshoz be kell jelentkezni
En a rootsh-t ismerem erre a celra.
Amugy valoban lehetne mailt is kuldetni root profilbol, de nem biztos, hogy a user interaktivan hasznalja a su-t. Az alias addig jo, amig valaki ra nem jon, es el nem kezdi hasznalni a binarist az utvonalaval.
A sax a SuSE X konfiguralo programja szerintem ;-)
Szerintem az ultimate megoldas megis csak valami syslog pipe/fifo hasznalata lenne, hiszen a loghoston konnyebben megvedheto a log.
- A hozzászóláshoz be kell jelentkezni
"A problemam, hogy tudom valtozoban letarolni, azt az esemenyt ha valaki root jogosultsagra valt egy scriptben?"
Nem ertem mit akarsz, ennek igy semmi ertelme. Milyen scriptben? Minden sudozas logolasra kerul.
A sudoers fileban pontosan megszabhatod ki milyen korulmenyek kozott sudozhat, es mit futtathat milyen felhasznalokent (root es nobody kozott jocskan ki lehet alakitani koztes privilegium szinteket).
root=barmit megtehet a gepen, ha ezzel a joggal tul sokat adsz neki, akkor adj kevesebbet! (pl. sudo jog egy scriptre, ami megcsinalja a taszkot, de nem tobbet, es nem lehet trukkosen parameterezni) Tavoli logolas alap, ha megvaltoztathatatlan logokat akarsz.
A sudozas tenyenel tobbet azonban nem tudsz a logokba preselni, ha valaki sudo -s -el joga van a root shellre, azzal pont a "teljes iranyitast" adod at, azon nincs mit kovetni. Persze logolhatod az osszes rendszerhivast tavolra, ismerek olyan helyet, ahol ezzel probalkoztak. Aztan az lett belole, hogy olyan sok logot kaptak, hogy amikor tenyleg problemak voltak, senkinek sem tunt fel, mert teljesen ertelmezhetetlen volt a log mennyisege miatt.
--
The Net is indeed vast and infinite...
http://gablog.eu
- A hozzászóláshoz be kell jelentkezni
Csak neked, mert latom, hogy segiteni akarsz:
Egyetlen rovid kerdes:
Hogyan tudom kovetni, ha a felhasznalo magasabb jogosultsagi szintre valt?
DE EZT ABBAN A PILLANATBAN.
Ennyi.
"#define QUESTION ((bb) || !(bb)) /* (c) written by W. Shakespeare. */
- A hozzászóláshoz be kell jelentkezni
Akár tail -f /var/log/auth.log
- A hozzászóláshoz be kell jelentkezni
:DDDDDD
"#define QUESTION ((bb) || !(bb)) /* (c) written by W. Shakespeare. */
- A hozzászóláshoz be kell jelentkezni
Pedig de... Szofisztikáltabb megoldás, ha egy másik gépre logolsz, és ott csinálod, ahol a delikvensnek nincs accountja, és ott figyeled a syslog-ból érkező adatokat, de gyakorlatilag az is ezt csinálja. Esetleg a SEC - simple event correlator lehet még érdekes.
- A hozzászóláshoz be kell jelentkezni
A loghoston az auth.log kimenetet raengeded egy pipe-ra, aminek a masik oldalan egy program figyel a sudo cuccra es akcio eseteben SMS-t kuld. Kell hozza egy GSM modul, es ennyi.
--
()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.
- A hozzászóláshoz be kell jelentkezni
Ami egyebkent sem hatrany. :)
--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!
- A hozzászóláshoz be kell jelentkezni
Amennyiben auth.log sincs, mert valamelyik barom letörölte, miután hülyeséget csinált, úgy szerintem az egyetlen üdvözítő megoldás baltával arconcsapni
a.) mindegyiket
b.) véletlenszerűen az egyiket, a többiek szeme előtt.
- A hozzászóláshoz be kell jelentkezni
+1
- A hozzászóláshoz be kell jelentkezni
+1
:DDD
No rainbow, no sugar
- A hozzászóláshoz be kell jelentkezni
Volt valami kernel patch, amivel minden exec művelet logolódott.
Bármi, amit végrehajtott az ember, benne volt a logban. Ha törölte a logot, az is. :-)
De alapból szerintem a koncepció rossz... ha nem bízol az emberekben, ne adj nekik root shell-t, ne tudjanak su-t végrehajtani!
Olyan emberek, akikről azt feltételezem, hogy törlik a logot, hogy eltakarítsák a hibájuk nyomát... bakker... talán még sima accountot se kapna, nem hogy root jelszót!
Legyen sudo, felsorolt parancsokkal... azért normál esetben eléggé körülhatárolható, hogy mi miatt kell az a root jog.
G
- A hozzászóláshoz be kell jelentkezni
Hali
Csak egy ötlet. mi lenne ha a su parancsot alias-olnád. mondjuk. Mondjuk valami ilyenre allias ='küldök mélt amiben %u is menne van && su -'
Ezzel azért gondolom lehetnek még gondok, biztos finomítani kell rajta.
- A hozzászóláshoz be kell jelentkezni
Kosz! Ez is megfordult mar a fejemben......., igazabol, keresem a megoldast....
"#define QUESTION ((bb) || !(bb)) /* (c) written by W. Shakespeare. */
- A hozzászóláshoz be kell jelentkezni
audit daemon nem tud segíteni?
-------------------------
Trust is a weakness...
- A hozzászóláshoz be kell jelentkezni
Utanna nezek, koszi!
"#define QUESTION ((bb) || !(bb)) /* (c) written by W. Shakespeare. */
- A hozzászóláshoz be kell jelentkezni
Hulyeseg, alias parancs felfedi.
--
()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.
- A hozzászóláshoz be kell jelentkezni
Defaultba logolja a rendszer...
Jun 5 12:34:35 Xena su: (to root) user1 on /dev/pts/1
--
Discover It - Have a lot of fun!
- A hozzászóláshoz be kell jelentkezni
http://www.grsecurity.net/features.php
- Exec logging with arguments
és remote serverre is menjen a log. :)
- A hozzászóláshoz be kell jelentkezni
+1
- A hozzászóláshoz be kell jelentkezni
Hello!
En a kovetkezoket tennem:
- Bashnek van egy hasznos szolgaltatasa: [ebuild R ] app-shells/bash-3.2_p39 USE="bashlogger" (gentoos pelda), aminek hatasara minden kiadott parancs megy egybol a syslogba
Jun 5 14:03:11 amelie bash: HISTORY: PID=6607 UID=1000 w
- GRSEC exec logging
- A syslogot gyujtsd tavoli szerveren, amihez csak neked van hozzaferesed
- auth.log-ot meg tudod figyeltetni, h ki mikor su-zott
- A hozzászóláshoz be kell jelentkezni
ez az mc-ben az F8-at is rogziti?
--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!
- A hozzászóláshoz be kell jelentkezni
Igazad van, nem, az ellen nem veeed. ;)
Erre az esetre talan megoldas lehet egy Samhain, Aide, adatbazisaikat menteni a tavoli logszerverre, es syslogba loggolnak.
Igy jelezni fogja a rendszer, ha file modosul, pontos idoponttal, ezt osszeveted a lastloggal, es talan kiszurheto, h ki nyomta meg az F8at az mc-ben. :)
/etc-t meg menteni orankent. ;)
- A hozzászóláshoz be kell jelentkezni
Na pont ezért sem su, hanem sudo. És sudo mc, sudo *sh, sudo vi* és hasonlók nem.
- A hozzászóláshoz be kell jelentkezni
van tobb program is ami logolja F8 at is pl.:
<27/05/2009-00:13:03 uid=1000 screen> [ALT-2][ALT-9[^A][^D]
tobb mukodo keyloggert is talalasz neten amiket tobbnyire kernel modulkent lehet betolteni es kepesek tavolra is logolni termeszetesen.
- A hozzászóláshoz be kell jelentkezni
Kidobod a mc-t?
--
()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.
- A hozzászóláshoz be kell jelentkezni
Ha nagyon paranoid, akkor igen, plusz a su-t sem engedi használni, hanem szépen végig...rágja, mire van tényleg szüksége a kollégáknak, és a sudoers-ben explicit beállítja, kiknek, mit szabad.
- A hozzászóláshoz be kell jelentkezni
snoopy?
Debian alatt tudom, hogy van csomagja, mert használom. Logol minden vegrehajtott programot (cronjob-okat is peldaul).
- A hozzászóláshoz be kell jelentkezni
hirtelen:
auth.log -ra immutable flag a hulyek ellen + cron script X percenkent kuldi neked mailben ha volt su-zas (pl logcheck vagy custom megoldas)
rendesen:
tenyleg kell nekik su? sudo? acl? etc?
- A hozzászóláshoz be kell jelentkezni
immutable nem jo, az a syslog ellen is ved sajnos. Remote loghost tiltott eleressel az egyetlen udvozito megoldas.
--
()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.
- A hozzászóláshoz be kell jelentkezni
root .bash_profile -ba pl egy ilyen:
echo 'Root hozzaferes adatai:
' `date` `who` | mail -s "Root hozzaferes: `who | awk '{print $6}'`" mail@cim.ed
nem jo?
Ha nem hasalt el epp az MTA, eselye sincs megfogni...
En ezt a megoldast hasznalom, s meg ha gyors es gepkocsirakodo az illeto 50 ujj/kez kiepitettseggel, akkor sem tud kiloni egy MTA-t 1 sec-en belul.
szürkehrteg
azenoldalamponthu
- A hozzászóláshoz be kell jelentkezni
Nem jo, a sima su nem ugy inditja a bash-t, hogy a bashprofile lefusson, csak a su - indul ugy. Ezen felul ha nem shelles su van inditva (su -c 'rm -rf /*') akkor sem parsolodik fel feltetlen a bashprofile, kulonosen, ha a /bin/sh az nem bash.
--
()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.
- A hozzászóláshoz be kell jelentkezni
Akkor .bashrc :) (sima 'su'-ra)
--
Discover It - Have a lot of fun!
- A hozzászóláshoz be kell jelentkezni
Ha ram hallgatsz, elfelejted a su-t.
sudoban bekorlatozod per user, hogy mit futtathat root joggal. A su-nak van a /etc/pam.d -ben fajlja, oda be kell irni az alabbit:
auth required pam_wheel.so use_uid
es innentol csak wheel csoporttal lehet su-zni, abbol pedig kifelejted a delikvenseket. Ha valami extrem kell nekik, akkor majd sikitanak. Root shell-t nem adsz meg veletlen sem senkinek, ALL-t plane senkinek (magadon kivul). Editorok is blacklisten a sudoval. Root jelszot nem tudhatja senki, ilyen kornyezetben en meg a NOPASSWD opciot is ellenzem.
--
()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.
- A hozzászóláshoz be kell jelentkezni
Fordits magadnak egy su-t ami kuld egy mail.:)
- A hozzászóláshoz be kell jelentkezni
De csak mert éppen ez a 666. olvasás: nevezd át a topikot "keressük meg istent"-re. :)
:: by BRI.
:: config :: Acer TravelMate // Ubuntu Jaunty
:: tothab [a] gmail [pötty] kom
:: black rose immortal's weblog
- A hozzászóláshoz be kell jelentkezni
hint: az összes privileged accountot külső rendszer managelje, az ezekhez tartozó passwordot megfelelő maker-checker rendszerben releaselni.
- A hozzászóláshoz be kell jelentkezni
Miért kell nekik a root jog? Milyen jellegű feladat nem megy nélküle?
- A hozzászóláshoz be kell jelentkezni
SElinux nem pont ilyesmi(is) kivédésére jó?
No rainbow, no sugar
- A hozzászóláshoz be kell jelentkezni