Angenommen, ich gewähre einem Systemadministrator vorübergehend SSH-Zugriff (Root/Sudo) auf meinen Server (Ubuntu 18.04), um bei einem Problem zu helfen. Wie kann ich anschließend überprüfen, welche Änderungen von der Person vorgenommen wurden?
Zu den Dingen, die ich gerne wissen würde, gehört, welche Dateien bearbeitet, welche Dateien erstellt, welche Dateien geöffnet wurden usw.
Gibt es ein Aktionsprotokoll, in dem man solche Dinge überprüfen kann?
Antwort1
Wie bereits erwähnt, ist Vertrauen erforderlich, wenn jemand Root-Zugriff auf Ihr System hat. Ich gehe davon aus, dass die Person zumindest nicht feindselig ist.
Ich würde Folgendes tun:
- Stellen Sie sicher, dass Sie über eine gute, vollständige Sicherung Ihres Systems verfügen. Das ist grundsätzlich sowieso eine gute Idee.
- Führen Sie ein Tool zur Überwachung der Dateiintegrität aus, wie z. B.
aide
, und kann Ihnen sagen, welche Datei(en) geändert wurden. Dazu gehören Protokolldateien, die Shell-Verlaufsdatei und alle anderen Änderungen, die die Person vorgenommen hat (mit Ausnahme von Änderungen des Typs feindliches Rootkit, die ausgeblendet werden können). Sie sollten wahrscheinlich die Aide-Datenbank aus dem System kopieren, nur aus Paranoia. - Lassen Sie die Person die Arbeit machen.
- Führen Sie den Assistenten erneut aus und sehen Sie sich die Liste der geänderten Dateien an. Sie können die aktuelle Version mit Ihrem Backup vergleichen, um zu sehen, welche Änderungen die Person vorgenommen hat.
aide
ist der beliebteste Open-Source-Dateiintegritätsmonitor. Tutorials (z. B.Dieses hier) und vieleInformationInformationen zur Verwendung sind verfügbar. Es gibt ein Ubuntu-Paket. Es gibt auch kommerzielle Lösungen.
Antwort2
Sie könnten den Shell-Verlauf überprüfen, aber der Shell-Verlauf lässt sich leicht umgehen. Selbst wenn Sie einem Befehl nur ein Leerzeichen voranstellen, wird er standardmäßig nicht zum Verlauf hinzugefügt.
Um noch einen Schritt weiter zu gehen, sollten Sie die Aktivierung und Verwendung pam_tty_audit
dieser Audit-Protokolle untersuchen und diese zur Überprüfung an einen Remote-Host senden. Kommerzielle Tools, die ähnliche Audits durchführen, wären beispielsweisecmd.com.