Su-zas kovetese

Hello!

Segitségre lenne szuksegem.
Kaptam par kollegat, akiknek a munkajukhoz engednem kell a file szerveremen a root jogosultsagot.
Többször vita targyat szuli, hogy utolag ki, mikor mit rontott el...

Arra gondoltam, kellene egy scriptet irnom, ami figyeli, hogy melyik user su-zott és ezt loggolom, vagy elkuldom mailbe magamnak (mondjuk ez utobbi a legbiztosabb :) )

Ahhoz kellene segitseg, hogy akar egy bash scriptben, hogy tudom figyelni, hogy melyik felhasznalo mikor su-zott a tobbi mar megy ...... :)

Hozzászólások

Amit leírsz, arra a sudo való, azt pont erre találták ki.

--
The Net is indeed vast and infinite...
http://gablog.eu

"Ahhoz kellene segitseg, hogy akar egy bash scriptben, hogy tudom figyelni, hogy melyik felhasznalo mikor su-zott"

Grepelj ra auth.logban.

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

Ok!

Legyen loggolas, ugy sem ez az erdekes.....

A problemam, hogy tudom valtozoban letarolni, azt az esemenyt ha valaki root jogosultsagra valt egy scriptben?

Esetleg nem script, hanem letezik erre valami daemon?
Sax vagy hasonlo remlik, de az betoresre volt.... , huuuu de regen...

"#define QUESTION ((bb) || !(bb)) /* (c) written by W. Shakespeare. */

En a rootsh-t ismerem erre a celra.

Amugy valoban lehetne mailt is kuldetni root profilbol, de nem biztos, hogy a user interaktivan hasznalja a su-t. Az alias addig jo, amig valaki ra nem jon, es el nem kezdi hasznalni a binarist az utvonalaval.

A sax a SuSE X konfiguralo programja szerintem ;-)

Szerintem az ultimate megoldas megis csak valami syslog pipe/fifo hasznalata lenne, hiszen a loghoston konnyebben megvedheto a log.

"A problemam, hogy tudom valtozoban letarolni, azt az esemenyt ha valaki root jogosultsagra valt egy scriptben?"

Nem ertem mit akarsz, ennek igy semmi ertelme. Milyen scriptben? Minden sudozas logolasra kerul.

A sudoers fileban pontosan megszabhatod ki milyen korulmenyek kozott sudozhat, es mit futtathat milyen felhasznalokent (root es nobody kozott jocskan ki lehet alakitani koztes privilegium szinteket).

root=barmit megtehet a gepen, ha ezzel a joggal tul sokat adsz neki, akkor adj kevesebbet! (pl. sudo jog egy scriptre, ami megcsinalja a taszkot, de nem tobbet, es nem lehet trukkosen parameterezni) Tavoli logolas alap, ha megvaltoztathatatlan logokat akarsz.

A sudozas tenyenel tobbet azonban nem tudsz a logokba preselni, ha valaki sudo -s -el joga van a root shellre, azzal pont a "teljes iranyitast" adod at, azon nincs mit kovetni. Persze logolhatod az osszes rendszerhivast tavolra, ismerek olyan helyet, ahol ezzel probalkoztak. Aztan az lett belole, hogy olyan sok logot kaptak, hogy amikor tenyleg problemak voltak, senkinek sem tunt fel, mert teljesen ertelmezhetetlen volt a log mennyisege miatt.

--
The Net is indeed vast and infinite...
http://gablog.eu

Volt valami kernel patch, amivel minden exec művelet logolódott.

Bármi, amit végrehajtott az ember, benne volt a logban. Ha törölte a logot, az is. :-)

De alapból szerintem a koncepció rossz... ha nem bízol az emberekben, ne adj nekik root shell-t, ne tudjanak su-t végrehajtani!
Olyan emberek, akikről azt feltételezem, hogy törlik a logot, hogy eltakarítsák a hibájuk nyomát... bakker... talán még sima accountot se kapna, nem hogy root jelszót!

Legyen sudo, felsorolt parancsokkal... azért normál esetben eléggé körülhatárolható, hogy mi miatt kell az a root jog.

G

Hali

Csak egy ötlet. mi lenne ha a su parancsot alias-olnád. mondjuk. Mondjuk valami ilyenre allias ='küldök mélt amiben %u is menne van && su -'
Ezzel azért gondolom lehetnek még gondok, biztos finomítani kell rajta.

Hello!

En a kovetkezoket tennem:
- Bashnek van egy hasznos szolgaltatasa: [ebuild R ] app-shells/bash-3.2_p39 USE="bashlogger" (gentoos pelda), aminek hatasara minden kiadott parancs megy egybol a syslogba

Jun 5 14:03:11 amelie bash: HISTORY: PID=6607 UID=1000 w

- GRSEC exec logging
- A syslogot gyujtsd tavoli szerveren, amihez csak neked van hozzaferesed
- auth.log-ot meg tudod figyeltetni, h ki mikor su-zott

Igazad van, nem, az ellen nem veeed. ;)
Erre az esetre talan megoldas lehet egy Samhain, Aide, adatbazisaikat menteni a tavoli logszerverre, es syslogba loggolnak.
Igy jelezni fogja a rendszer, ha file modosul, pontos idoponttal, ezt osszeveted a lastloggal, es talan kiszurheto, h ki nyomta meg az F8at az mc-ben. :)
/etc-t meg menteni orankent. ;)

hirtelen:
auth.log -ra immutable flag a hulyek ellen + cron script X percenkent kuldi neked mailben ha volt su-zas (pl logcheck vagy custom megoldas)

rendesen:
tenyleg kell nekik su? sudo? acl? etc?

root .bash_profile -ba pl egy ilyen:

echo 'Root hozzaferes adatai:
' `date` `who` | mail -s "Root hozzaferes: `who | awk '{print $6}'`" mail@cim.ed

nem jo?
Ha nem hasalt el epp az MTA, eselye sincs megfogni...
En ezt a megoldast hasznalom, s meg ha gyors es gepkocsirakodo az illeto 50 ujj/kez kiepitettseggel, akkor sem tud kiloni egy MTA-t 1 sec-en belul.

szürkehrteg
azenoldalamponthu

Nem jo, a sima su nem ugy inditja a bash-t, hogy a bashprofile lefusson, csak a su - indul ugy. Ezen felul ha nem shelles su van inditva (su -c 'rm -rf /*') akkor sem parsolodik fel feltetlen a bashprofile, kulonosen, ha a /bin/sh az nem bash.
--


()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.

Ha ram hallgatsz, elfelejted a su-t.
sudoban bekorlatozod per user, hogy mit futtathat root joggal. A su-nak van a /etc/pam.d -ben fajlja, oda be kell irni az alabbit:


auth       required     pam_wheel.so use_uid

es innentol csak wheel csoporttal lehet su-zni, abbol pedig kifelejted a delikvenseket. Ha valami extrem kell nekik, akkor majd sikitanak. Root shell-t nem adsz meg veletlen sem senkinek, ALL-t plane senkinek (magadon kivul). Editorok is blacklisten a sudoval. Root jelszot nem tudhatja senki, ilyen kornyezetben en meg a NOPASSWD opciot is ellenzem.
--


()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.

Fordits magadnak egy su-t ami kuld egy mail.:)

De csak mert éppen ez a 666. olvasás: nevezd át a topikot "keressük meg istent"-re. :)

:: by BRI.
:: config :: Acer TravelMate // Ubuntu Jaunty
:: tothab [a] gmail [pötty] kom
:: black rose immortal's weblog

hint: az összes privileged accountot külső rendszer managelje, az ezekhez tartozó passwordot megfelelő maker-checker rendszerben releaselni.

Miért kell nekik a root jog? Milyen jellegű feladat nem megy nélküle?

SElinux nem pont ilyesmi(is) kivédésére jó?

No rainbow, no sugar