Suponiendo que le doy a un administrador del sistema acceso temporal ssh (root/sudo) a mi servidor (Ubuntu 18.04) para ayudar con un problema, ¿cómo comprobaría qué cambios realizó la persona después?
Algunas de las cosas que me gustaría saber incluirían saber qué archivos se editaron, qué archivos se crearon, qué archivos se abrieron, etc.
¿Hay un registro de acciones donde se pueden verificar cosas como esta?
Respuesta1
Como se mencionó, existe una confianza cuando alguien tiene acceso de root a su sistema. Asumiré que la persona al menos no es hostil.
Lo que haría es:
- Asegúrese de tener una copia de seguridad buena y completa de su sistema. De todos modos, esta es una buena idea en general.
- Ejecute una herramienta de monitoreo de integridad de archivos como
aidey puede indicarle qué archivos cambiaron. Esto incluirá archivos de registro, el archivo de historial del shell y cualquier otro cambio que haya realizado la persona (excepto los cambios de tipo rootkit hostiles que pueden ocultarse). Probablemente deberías copiar la base de datos del asistente fuera del sistema, simplemente por paranoia. - Deja que la persona haga el trabajo.
- Vuelva a ejecutar el asistente y observe la lista de archivos modificados. Puede comparar la versión actual con su copia de seguridad para ver qué cambios realizó la persona.
aidees el monitor de integridad de archivos de código abierto más popular. Tutoriales (por ejemplo,Éste) y muchosinformaciónsobre su uso están disponibles. Tiene un paquete Ubuntu. También existen soluciones comerciales.
Respuesta2
Puede consultar el historial de Shell, pero el historial de Shell es fácil de anular. Incluso simplemente anteponer un comando con un espacio evitará que se agregue al historial, de forma predeterminada.
Para ir un paso más allá, investigue cómo habilitar, usar pam_tty_audity enviar esos registros de auditoría a un host remoto para su revisión. Las herramientas comerciales que realizan auditorías similares serían cosas comocmd.com.