問題の解決を支援するために、システム管理者にサーバー (Ubuntu 18.04) への一時的な ssh (root/sudo) アクセス権を付与した場合、その後にそのユーザーがどのような変更を加えたかを確認するにはどうすればよいでしょうか?
私が知りたいことの中には、どのファイルが編集されたか、どのファイルが作成されたか、どのファイルが開かれたかなどが含まれます。
このようなことを確認できるアクション ログはありますか?
答え1
すでに述べたように、誰かがあなたのシステムのルート アクセス権を持っている場合、信頼関係が関係します。その人は少なくとも敵対的ではないと仮定します。
私がやることは次の通りです:
- システムの完全なバックアップを確実に取ってください。これは一般的に言って良い考えです。
- 次のようなファイル整合性監視ツールを実行します。
aide、どのファイルが変更されたかがわかります。これには、ログ ファイル、シェル履歴ファイル、およびユーザーが行ったその他の変更が含まれます (ただし、隠すことができる悪意のあるルートキット タイプの変更は除きます)。心配な場合は、システムから aide データベースをコピーしたほうがよいでしょう。 - その人に仕事をやらせましょう。
- aide を再実行し、変更されたファイルのリストを確認します。現在のバージョンとバックアップを比較して、ユーザーがどのような変更を加えたかを確認できます。
aide最も人気のあるオープンソースのファイル整合性モニターです。チュートリアル(例:これです)とたくさんの情報使用方法に関する資料は入手可能です。Ubuntu パッケージがあります。商用ソリューションもあります。
答え2
シェルの履歴を確認することもできますが、シェルの履歴は簡単に破られます。コマンドの前にスペースを入れるだけでも、デフォルトでは履歴に追加されなくなります。
さらに一歩進んで、pam_tty_audit監査ログを有効にして使用し、リモートホストに送信してレビューできるようにすることを検討してください。同様の監査を行う商用ツールには次のようなものがあります。ホームページ。