Aktionsprotokoll der letzten SSH-Anmeldung

Question 1

Wie bereits erwähnt, ist Vertrauen erforderlich, wenn jemand Root-Zugriff auf Ihr System hat. Ich gehe davon aus, dass die Person zumindest nicht feindselig ist.

Ich würde Folgendes tun:

Stellen Sie sicher, dass Sie über eine gute, vollständige Sicherung Ihres Systems verfügen. Das ist grundsätzlich sowieso eine gute Idee.
Führen Sie ein Tool zur Überwachung der Dateiintegrität aus, wie z. B.aide, und kann Ihnen sagen, welche Datei(en) geändert wurden. Dazu gehören Protokolldateien, die Shell-Verlaufsdatei und alle anderen Änderungen, die die Person vorgenommen hat (mit Ausnahme von Änderungen des Typs feindliches Rootkit, die ausgeblendet werden können). Sie sollten wahrscheinlich die Aide-Datenbank aus dem System kopieren, nur aus Paranoia.
Lassen Sie die Person die Arbeit machen.
Führen Sie den Assistenten erneut aus und sehen Sie sich die Liste der geänderten Dateien an. Sie können die aktuelle Version mit Ihrem Backup vergleichen, um zu sehen, welche Änderungen die Person vorgenommen hat.

aideist der beliebteste Open-Source-Dateiintegritätsmonitor. Tutorials (z. B.Dieses hier) und vieleInformationInformationen zur Verwendung sind verfügbar. Es gibt ein Ubuntu-Paket. Es gibt auch kommerzielle Lösungen.

Answer

Wie bereits erwähnt, ist Vertrauen erforderlich, wenn jemand Root-Zugriff auf Ihr System hat. Ich gehe davon aus, dass die Person zumindest nicht feindselig ist.

Ich würde Folgendes tun:

Stellen Sie sicher, dass Sie über eine gute, vollständige Sicherung Ihres Systems verfügen. Das ist grundsätzlich sowieso eine gute Idee.
Führen Sie ein Tool zur Überwachung der Dateiintegrität aus, wie z. B.aide, und kann Ihnen sagen, welche Datei(en) geändert wurden. Dazu gehören Protokolldateien, die Shell-Verlaufsdatei und alle anderen Änderungen, die die Person vorgenommen hat (mit Ausnahme von Änderungen des Typs feindliches Rootkit, die ausgeblendet werden können). Sie sollten wahrscheinlich die Aide-Datenbank aus dem System kopieren, nur aus Paranoia.
Lassen Sie die Person die Arbeit machen.
Führen Sie den Assistenten erneut aus und sehen Sie sich die Liste der geänderten Dateien an. Sie können die aktuelle Version mit Ihrem Backup vergleichen, um zu sehen, welche Änderungen die Person vorgenommen hat.

aideist der beliebteste Open-Source-Dateiintegritätsmonitor. Tutorials (z. B.Dieses hier) und vieleInformationInformationen zur Verwendung sind verfügbar. Es gibt ein Ubuntu-Paket. Es gibt auch kommerzielle Lösungen.

Question 2

Sie könnten den Shell-Verlauf überprüfen, aber der Shell-Verlauf lässt sich leicht umgehen. Selbst wenn Sie einem Befehl nur ein Leerzeichen voranstellen, wird er standardmäßig nicht zum Verlauf hinzugefügt.

Um noch einen Schritt weiter zu gehen, sollten Sie die Aktivierung und Verwendung pam_tty_auditdieser Audit-Protokolle untersuchen und diese zur Überprüfung an einen Remote-Host senden. Kommerzielle Tools, die ähnliche Audits durchführen, wären beispielsweisecmd.com.

Answer

Sie könnten den Shell-Verlauf überprüfen, aber der Shell-Verlauf lässt sich leicht umgehen. Selbst wenn Sie einem Befehl nur ein Leerzeichen voranstellen, wird er standardmäßig nicht zum Verlauf hinzugefügt.

Um noch einen Schritt weiter zu gehen, sollten Sie die Aktivierung und Verwendung pam_tty_auditdieser Audit-Protokolle untersuchen und diese zur Überprüfung an einen Remote-Host senden. Kommerzielle Tools, die ähnliche Audits durchführen, wären beispielsweisecmd.com.

Aktionsprotokoll der letzten SSH-Anmeldung

Antwort1

Antwort2

verwandte Informationen