문제를 지원하기 위해 시스템 관리자에게 내 서버(Ubuntu 18.04)에 대한 임시 SSH(root/sudo) 액세스 권한을 부여한다고 가정하면 나중에 해당 사람이 변경한 내용을 어떻게 확인할 수 있습니까?
내가 알고 싶은 것 중 일부는 어떤 파일이 편집되었는지, 어떤 파일이 생성되었는지, 어떤 파일이 열렸는지 등을 아는 것입니다.
이런 것들을 확인할 수 있는 작업 로그인가요?
답변1
앞서 언급했듯이 누군가가 시스템에 대한 루트 액세스 권한을 갖고 있는 경우에는 신뢰가 필요합니다. 나는 그 사람이 적어도 적대적이지 않다고 가정하겠습니다.
내가 할 일은 다음과 같습니다.
- 시스템의 완전한 전체 백업이 있는지 확인하십시오. 어쨌든 이것은 일반적으로 좋은 생각입니다.
- 다음과 같은 파일 무결성 모니터 도구를 실행하십시오.
aide, 어떤 파일이 변경되었는지 알려줄 수 있습니다. 여기에는 로그 파일, 셸 기록 파일 및 사용자가 수행한 기타 변경 사항이 포함됩니다(숨길 수 있는 적대적인 루트킷 유형 변경 사항 제외). 편집증 때문에 시스템에서 보좌관 데이터베이스를 복사해야 할 수도 있습니다. - 그 사람이 일을 하게 하세요.
- aide를 다시 실행하고 변경된 파일 목록을 살펴보세요. 현재 버전을 백업과 비교하여 해당 사용자가 변경한 내용을 확인할 수 있습니다.
aide가장 널리 사용되는 오픈 소스 파일 무결성 모니터입니다. 튜토리얼(예:이 하나) 그리고 많은정보그것을 사용하는 것에 대해 사용할 수 있습니다. 우분투 패키지가 있습니다. 상업용 솔루션도 있습니다.
답변2
쉘의 기록을 확인할 수 있지만 쉘 기록은 패배하기 쉽습니다. 명령 앞에 공백을 넣는 것만으로도 기본적으로 기록에 추가되지 않습니다.
한 단계 더 나아가려면 pam_tty_audit검토를 위해 해당 감사 로그를 원격 호스트로 활성화 및 사용하고 전송하는 방법을 연구하십시오. 유사한 감사를 수행하는 상용 도구는 다음과 같습니다.cmd.com.